tradingkey.logo
tradingkey.logo
Buscar

La campaña de malware ClickFix ataca a usuarios de Mac que buscan ayuda

Cryptopolitan10 de may de 2026 18:30
facebooktwitterlinkedin
Ver todos los comentarios0

Los atacantes están publicando guías falsas para solucionar problemas de macOS en Medium, Craft y Squarespace. El objetivo es que los usuarios ejecuten comandos de Terminal que instalen malware dirigido a los datos de iCloud, las contraseñas guardadas y las carteras de criptomonedas.

El equipo de investigación de seguridad de Microsoft Defender publicó los resultados. La campaña lleva activa desde finales de 2025 y se aprovecha de los usuarios de Mac que buscan ayuda para solucionar problemas comunes como liberar espacio en disco o corregir errores del sistema.

En lugar de ofrecer una solución legítima, las páginas indican a los usuarios que copien un comando y lo peguen en la terminal. Ese comando descarga y ejecuta malware.

Las publicaciones engañosas del blog instan a los lectores a copiar un comando malicioso y pegarlo en la terminal. Este comando descarga malware y lo ejecuta en la computadora de la víctima.

La técnica se llama ClickFix. Se trata de ingeniería social que traslada la responsabilidad del lanzamiento del malware a la víctima. Dado que el usuario ejecuta el comando directamente en la Terminal, macOS Gatekeeper nunca inspecciona el malware.

Normalmente, Gatekeeper comprueba la firma de código y la certificación notarial de los paquetes de aplicaciones abiertos a través de Finder, pero este método lo evita por completo.

Los atacantes lanzaron tres campañas con el mismo objetivo

Microsoft detectó tres instaladores de campaña:

  1. Una cargadora.
  2. Un guion.
  3. Un ayudante.

Los tres métodos recopilan datos confidenciales, establecen persistencia y extraen la información robada a los servidores del atacante.

Entre las familias de malware se incluyen AMOS, Macsync y SHub Stealer. Si se instala alguno de estos tres programas maliciosos, este intenta robar los datos de las cuentas de iCloud y Telegram. Luego, busca documentos y fotos privadas de menos de 2 MB. Además,traclas claves de monederos de criptomonedas de Exodus, Ledger y Trezor, y roba los nombres de usuario y contraseñas guardados en Chrome y Firefox.

Tras la instalación, el malware muestra un cuadro de diálogo falso y solicita una contraseña del sistema para instalar una "herramienta auxiliar". Si el usuario introduce la contraseña, el atacante obtiene acceso completo a los archivos y la configuración del sistema.

En algunos casos, los investigadores descubrieron que los atacantes eliminaban aplicaciones legítimas de monederos de criptomonedas y las reemplazaban por versiones troyanizadas diseñadas para monitorear las transacciones y robar fondos.

Trezor Suite, Ledger Wallet y Exodus fueron algunas de las principales aplicaciones objetivo de este ataque.

La campaña de carga también incluye un interruptor de apagado. El malware deja de ejecutarse si detecta una distribución de teclado rusa.

Investigadores de seguridad observaron que los atacantes utilizaban curl, osascript y otras utilidades nativas de macOS para ejecutar malware directamente en la memoria. Este método, que no utiliza archivos, dificulta la detección por parte de las herramientas antivirus estándar.

Los atacantes van tras los desarrolladores de criptomonedas

Investigadores de seguridad de ANY[.]RUN descubrieron una operación del Grupo Lazarus llamada “Mach-O Man”. Los hackers utilizaron la misma técnica de ClickFix mediante invitaciones a reuniones falsas. Su objetivo eran los equipos de empresas de tecnología financiera y criptomonedas, donde macOS es común.

Cryptopolitan publicó un artículo sobre la campaña de PromptMink.

El grupo norcoreano Famous Chollima introdujo un paquete npm malicioso en un proyecto de comercio de criptomonedas mediante un cambio generado por IA. Utilizando un enfoque de paquete de dos capas, el malware obtuvo acceso a los datos de la billetera y a la información confidencial del sistema.

Ambas campañas demuestran que los datos de las billeteras de criptomonedas son valiosos. Los atacantes están adaptando sus métodos de ataque, desde publicaciones falsas en blogs hasta la infiltración en la cadena de suministro asistida por IA, para obtenerlos.

¿Sigues dejando que el banco se quede con lo mejor? Mira nuestro video gratuito sobre cómo ser tu propio banco.

Descargo de responsabilidad: La información proporcionada en este sitio web es solo para fines educativos e informativos, y no debe considerarse como asesoramiento financiero o de inversión.

Comentarios (0)

Haga clic en el botón $, introduzca el símbolo y seleccione si desea vincular una acción, un ETF o otro valor.

0/500
Normas para comentar
Cargando...

Artículos Recomendados

tradingkey.logo
* Las referencias, los análisis y las estrategias de trading son proporcionados por un proveedor externo, Trading Central, y el punto de vista se basa en la evaluación y el juicio independientes del analista, sin considerar los objetivos de inversión ni la situación financiera de los inversores.
Advertencia de Riesgo: Nuestro sitio web y aplicación móvil solo proporcionan información general sobre ciertos productos de inversión. Finsights no proporciona, y la provisión de dicha información no debe interpretarse como que Finsights proporciona, asesoramiento financiero o recomendación para cualquier producto de inversión.
Los productos de inversión están sujetos a riesgos de inversión significativos, incluida la posible pérdida del monto principal invertido y pueden no ser adecuados para todos. El rendimiento pasado de los productos de inversión no es indicativo de su rendimiento futuro.
Finsights puede permitir que anunciantes o afiliados de terceros coloquen o entreguen anuncios en nuestro sitio web o aplicación móvil o en cualquier parte de los mismos y puede ser compensado por ellos en función de su interacción con los anuncios.
© Derechos de autor: FINSIGHTS MEDIA PTE. LTD. Todos los derechos reservados.