Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware para Mac Malware ladrón atómico de macOS

Malware ladrón atómico de macOS

Por Mezo en Malware para Mac
Traducir a:

Investigadores de ciberseguridad han descubierto una nueva campaña de malware que aprovecha la engañosa táctica de ingeniería social conocida como ClickFix para distribuir Atomic macOS Stealer (AMOS), un malware que roba información diseñado para comprometer los sistemas macOS de Apple.

Tácticas de typosquat: suplantando a Spectrum

Los atacantes detrás de esta campaña emplean dominios typosquat que imitan al proveedor de telecomunicaciones estadounidense Spectrum, utilizando sitios web fraudulentos como panel-spectrum.net y spectrum-ticket.net para atraer a usuarios desprevenidos. Estos dominios falsos están diseñados para parecer legítimos, lo que aumenta la probabilidad de confianza e interacción del usuario.

Script de shell malicioso: la carga oculta

Cualquier usuario de macOS que visite estos sitios falsificados recibe un script de shell malicioso. Este script solicita a las víctimas que introduzcan la contraseña del sistema y procede a robar credenciales, eludir los controles de seguridad de macOS e instalar una variante del malware AMOS para su posterior explotación. Se utilizan comandos nativos de macOS para maximizar la eficacia del script, manteniendo un perfil bajo.

Rastros de origen: Comentarios sobre el código en ruso

La evidencia sugiere que ciberdelincuentes rusoparlantes podrían estar detrás de esta campaña. Los investigadores encontraron comentarios en ruso incrustados en el código fuente del malware, lo que apunta al probable origen geográfico y lingüístico de los actores de la amenaza.

CAPTCHA engañoso: el señuelo de ClickFix

El ataque comienza con un mensaje falso de verificación hCaptcha que supuestamente verifica la seguridad de la conexión del usuario. Tras marcar la casilla "Soy humano", el usuario recibe un mensaje de error falso: "Error en la verificación CAPTCHA". Se le solicita que proceda con una "Verificación Alternativa".

Esta acción copia un comando malicioso al portapapeles y muestra instrucciones según el sistema operativo del usuario. En macOS, se indica a las víctimas que peguen y ejecuten el comando en la aplicación Terminal, lo que inicia la descarga de AMOS.

Ejecución descuidada: pistas en el código

A pesar de la peligrosa intención de la campaña, los investigadores detectaron inconsistencias en la infraestructura del ataque. Se observaron errores de lógica y programación deficientes en las páginas de entrega, como:

  • Comandos de PowerShell que se copian para usuarios de Linux.
  • Instrucciones específicas de Windows que se muestran tanto a usuarios de Windows como de Mac.
  • Desajustes en el frontend entre el sistema operativo mostrado y las instrucciones.
  • Estos errores indican una infraestructura de ataque construida apresuradamente o mal mantenida.

El auge de ClickFix: un vector de amenaza en expansión

Este desarrollo forma parte de una tendencia creciente en el uso de la táctica ClickFix en múltiples campañas de malware durante el último año. Los actores de amenazas emplean sistemáticamente técnicas, herramientas y procedimientos (TTP) similares para el acceso inicial, siendo los más comunes:

  • phishing selectivo
  • Descargas automáticas
  • Enlaces maliciosos compartidos a través de plataformas confiables como GitHub

Soluciones falsas, daños reales: la ingeniería social en su peor expresión

Se engaña a las víctimas haciéndoles creer que están resolviendo un problema técnico benigno. En realidad, están ejecutando comandos dañinos que instalan malware. Esta forma de ingeniería social es muy eficaz para eludir la conciencia del usuario y los mecanismos de seguridad estándar.

Impacto creciente: propagación global y cargas útiles diversas

Se han detectado campañas de ClickFix en entornos de clientes de Estados Unidos, Europa, Oriente Medio y África (EMEA). Estos ataques son cada vez más diversos y no solo incluyen ladrones como AMOS, sino también troyanos y ransomware. Si bien las cargas útiles pueden variar, la metodología principal se mantiene constante: manipular el comportamiento del usuario para comprometer la seguridad.

Conclusión: Es necesaria la vigilancia

Esta campaña subraya la importancia de la vigilancia continua, la educación del usuario y unos controles de seguridad sólidos. A medida que evolucionan las tácticas de ingeniería social como ClickFix, tanto las organizaciones como las personas deben mantenerse informadas y preparadas para reconocer y bloquear estas amenazas engañosas.

Tendencias

Mas Visto

Cargando...