La campaña de malware ClickFix apunta a usuarios de Mac que buscan ayuda

Los atacantes están publicando guías falsas de solución de problemas de macOS en Medium, Craft y Squarespace. El objetivo es hacer que los usuarios ejecuten comandos en Terminal que instalan malware dirigido a datos de iCloud, contraseñas guardadas y carteras de criptomonedas.

El equipo de investigación de seguridad de Defender de Microsoft publicó los hallazgos. La campaña ha estado en marcha desde finales de 2025. Se aprovecha de usuarios de Mac que buscan ayuda con problemas comunes como liberar espacio en disco o solucionar errores del sistema.

En lugar de ofrecer una solución legítima, las páginas indican a los usuarios que copien un comando y lo peguen en Terminal. Ese comando descarga y ejecuta malware.

Las publicaciones engañosas en blogs indican a los lectores que copien un comando malicioso y lo peguen en Terminal. Este comando descarga malware y lo ejecuta en la computadora de la víctima.

La técnica se llama ClickFix. Es ingeniería social que transfiere la responsabilidad de lanzar la carga útil a la víctima. Debido a que el usuario ejecuta el comando directamente en Terminal, Gatekeeper de macOS nunca inspecciona la carga útil.

Gatekeeper normalmente verifica la firma de código y la notarización en los paquetes de aplicaciones abiertos a través de Finder, pero este método lo evita por completo.

Los atacantes lanzaron tres campañas con el mismo objetivo

Microsoft detectó tres instaladores de campaña:

Un cargador.

Un script.

Un ayudante.

Los tres recopilan datos sensibles, establecen persistencia y exfiltran la información robada a los servidores del atacante.

Las familias de malware incluyen AMOS, Macsync y SHub Stealer. Si se instala alguna de las tres, atacan datos de cuentas de iCloud y Telegram. Luego buscan documentos y fotos privadas de menos de 2 MB. Y extraen claves de carteras de criptomonedas de Exodus, Ledger y Trezor, además de robar nombres de usuario y contraseñas guardadas en Chrome y Firefox.

Tras la instalación, el malware muestra un cuadro de diálogo falso y pide una contraseña del sistema para instalar una “herramienta auxiliar”. Si el usuario ingresa la contraseña, el atacante obtiene acceso completo a archivos y configuraciones del sistema.

En algunos casos, los investigadores encontraron que los atacantes eliminaron aplicaciones legítimas de carteras de criptomonedas y las reemplazaron por versiones troyanizadas diseñadas para monitorear transacciones y robar fondos.

Trezor Suite, Ledger Wallet y Exodus fueron algunas de las principales aplicaciones objetivo en este ataque.

La campaña del cargador también incluye un interruptor de apagado. El malware deja de ejecutarse si detecta una distribución de teclado rusa.

Los investigadores de seguridad observaron que los atacantes usan curl, osascript y otras utilidades nativas de macOS para ejecutar cargas útiles directamente en memoria. Este es un enfoque sin archivos que dificulta la detección por parte de las herramientas antivirus estándar.

Los atacantes apuntan a desarrolladores de criptomonedas

Investigadores de seguridad de ANY[.]RUN descubrieron una operación del Grupo Lazarus llamada “Mach-O Man”. Los hackers usaron la misma técnica ClickFix mediante invitaciones falsas a reuniones. Atacaron máquinas de fintech y criptomonedas donde macOS es común.

Cryptopolitan publicó sobre la campaña PromptMink.

Un paquete npm malicioso fue introducido en un proyecto de comercio de criptomonedas por el grupo norcoreano Famous Chollima mediante un cambio generado por IA. Usando un enfoque de paquete de dos capas, el malware accedió a datos de billeteras y secretos del sistema.

Ambas campañas muestran que los datos de las carteras de criptomonedas son valiosos. Los atacantes están adaptando sus métodos de entrega, desde publicaciones falsas en blogs hasta compromisos en la cadena de suministro asistidos por IA para alcanzarlos.

Si estás leyendo esto, ya estás un paso adelante. Quédate así con nuestro boletín.