Ciberseguridad y cripto: Lazarus amplía sus ataques con macOS

Alertan que Lazarus lanzó un kit para hackear fintech y criptomonedas

Redacción
28 de mayo de 2026 (09:00 h.)
Etiquetas
CRIPTOMONEDAS
Especialistas en ciberseguridad advierten que el grupo Lazarus, vinculado a Corea del Norte, ha puesto en circulación un kit de malware para macOS llamado “Mach-O Man”, diseñado para robar credenciales y acceder a sistemas de empresas fintech y de criptomonedas. La campaña usa ingeniería social, falsas videollamadas y comandos pegados por la propia víctima en la terminal, un método que dificulta la detección y eleva el riesgo para ejecutivos y desarrolladores.

Qué es Mach-O Man

Mach-O Man es un kit de malware nativo para macOS atribuido al Grupo Lazarus, analizado por expertos a partir de reportes previos de equipos de seguridad y publicado en plataformas especializadas.
La amenaza apunta especialmente a entornos donde los equipos Mac son habituales entre directivos, personal técnico y responsables de producto, como fintech, exchanges y empresas cripto.

Cómo funciona el ataque

La cadena de infección empieza con una invitación falsa a una reunión enviada por Telegram, a menudo desde cuentas comprometidas de contactos conocidos.
El enlace lleva a una página que imita plataformas como Zoom, Teams o Google Meet y muestra un supuesto error de conexión, tras lo cual pide copiar y pegar un comando en la terminal para “solucionarlo”.
Ese paso activa el malware sin necesidad de explotar una vulnerabilidad técnica del sistema, porque es la propia víctima quien ejecuta la instrucción.

Qué roba el malware

Según los análisis citados, el kit despliega varios módulos en secuencia: descarga binarios maliciosos, recopila información del sistema, instala persistencia disfrazada de aplicación legítima y extrae credenciales.
Entre los datos buscados figuran el llavero de macOS, cookies de sesión y archivos sensibles, elementos que pueden abrir acceso a wallets, plataformas de intercambio y paneles corporativos.
La información robada se exfiltra a través de Telegram, que en este caso funciona como canal de salida para el atacante.

Por qué preocupa a fintech y cripto

La campaña es especialmente sensible para empresas fintech y cripto porque muchas de ellas concentran en pocos dispositivos el acceso a infraestructuras críticas y a fondos de alto valor.
Los investigadores advierten de que una sola máquina comprometida puede servir como puerta de entrada a cuentas corporativas, sistemas SaaS y recursos financieros más amplios.
Además, la capacidad del malware para borrarse a sí mismo complica el análisis forense y reduce las posibilidades de detección temprana.

Qué deben revisar las empresas

Los especialistas recomiendan extremar la verificación de invitaciones recibidas por mensajería, desconfiar de instrucciones para pegar comandos en la terminal y reforzar la formación contra ataques de ingeniería social.
También sugieren revisar controles sobre accesos remotos, autenticación multifactor y uso de gestores de contraseñas, especialmente en entornos donde macOS es dominante.
En un escenario como este, la prevención depende tanto de la higiene digital como de la capacidad de respuesta rápida ante posibles compromisos.

Etiquetas
CRIPTOMONEDAS