Una nueva campaña cibercriminal, atribuida al grupo Lazarus de Corea del Norte, utiliza invitaciones falsas a reuniones de Zoom y Google Meet para infiltrarse en empresas y robar información sensible. El ataque apunta a empleados de macOS y ya afectó a firmas fintech de América Latina.
Una nueva campaña de ciberataques, atribuida al grupo de hackers norcoreano Lazarus, está dirigida a usuarios de dispositivos Apple con macOS. A través de falsas invitaciones a videollamadas en plataformas como Zoom, Google Meet y Microsoft Teams, los atacantes buscan obtener acceso a sistemas corporativos y robar contraseñas, historial de navegación y otros datos sensibles.
Según una investigación del especialista en ciberseguridad Mauro Eldritch, publicada en la plataforma ANY.RUN, el engaño comienza con un mensaje en Telegram u otras aplicaciones de mensajería, a menudo utilizando cuentas robadas de figuras del mundo cripto. La víctima, al creer que se trata de un contacto legítimo, hace clic en un enlace que la lleva a una página falsa que imita a Zoom o Google Meet.
Allí, un supuesto error técnico le indica al usuario que debe copiar y pegar un comando en la Terminal de Mac para solucionar el problema. Este paso es clave: en lugar de explotar una vulnerabilidad del sistema, el atacante logra que la propia víctima ejecute la orden que abre la puerta al malware, bautizado como «Mach-O Man» en alusión a la estructura de archivos de macOS y a la canción de Village People.
Una vez ejecutado el comando, el malware descarga una aplicación falsa que solicita la contraseña del equipo en repetidas ocasiones. En segundo plano, el programa recopila información del dispositivo, instala mecanismos para persistir tras reinicios y extrae credenciales guardadas, cookies y sesiones activas del navegador. Toda esa información es comprimida y enviada a los atacantes a través de Telegram.
El grupo Lazarus, vinculado al régimen norcoreano desde finales de la década de 2000, ha evolucionado de operaciones de espionaje a una maquinaria híbrida que combina robo de datos, ataques financieros y campañas de sabotaje. En esta ocasión, el foco está puesto en empresas de América Latina, especialmente del sector fintech.
Alejandro Botter, gerente de ingeniería de Check Point para el sur de Latinoamérica, señaló que «al analizar la campaña Mach‑O Man junto con investigaciones previas, aparece un patrón claro: el aprovechamiento de la confianza como punto de entrada». El experto destacó que el grupo evita ataques directos y se apoya en procesos legítimos para pasar desapercibido.