Investigadores de seguridad han detectado una nueva campaña maliciosa dirigida a usuarios de macOS que distribuye el malware Atomic Stealer mediante una variante del ataque de ingeniería social conocido como ClickFix.
En esta campaña, los atacantes aprovechan Script Editor, una herramienta legítima integrada en macOS, para ejecutar código malicioso sin necesidad de interacción directa con el Terminal, reduciendo las barreras de ejecución para la víctima.
¿Cómo funciona el ataque ClickFix en macOS?
El ataque se basa en páginas web falsas que simulan guías de optimización del sistema, con el objetivo de engañar a los usuarios para que ejecuten acciones aparentemente inofensivas relacionadas con la limpieza del dispositivo.
Estas páginas utilizan el esquema applescript:// para abrir Script Editor con código previamente insertado, lo que permite ejecutar comandos sin pasar por el flujo habitual de advertencias del Terminal.
Una vez ejecutado, el código malicioso descarga y ejecuta scripts adicionales desde servidores remotos, utilizando técnicas de ofuscación como base64 y compresión gzip para ocultar su funcionamiento real.
Descarga y ejecución del malware Atomic Stealer
El payload final identificado en esta campaña corresponde a Atomic Stealer (AMOS), un malware de tipo infostealer distribuido bajo el modelo malware-as-a-service.
El proceso de infección incluye la descarga de un binario en el sistema, su descompresión y ejecución directa en memoria, lo que dificulta su detección por soluciones de seguridad tradicionales.
Este malware está diseñado para recopilar información sensible del sistema comprometido, incluyendo:
- Contraseñas almacenadas en el llavero de macOS (Keychain)
- Datos de autocompletado del navegador
- Cookies y sesiones activas
- Credenciales de carteras de criptomonedas
- Información del sistema y archivos locales
Evolución del malware en macOS
Investigadores de seguridad señalan que esta campaña continúa la evolución de ataques ClickFix, que anteriormente se centraban en engañar a los usuarios para ejecutar comandos directamente en Terminal.
En esta variante, el uso de Script Editor reduce la percepción de riesgo, ya que se trata de una aplicación nativa del sistema operativo, lo que incrementa la probabilidad de éxito del ataque.
Además, versiones recientes de macOS han comenzado a incorporar advertencias adicionales para la ejecución de comandos sospechosos, aunque los atacantes siguen adaptando sus técnicas.
Recomendaciones de seguridad
Los expertos recomiendan a los usuarios de macOS extremar la precaución ante cualquier solicitud que implique ejecutar scripts o abrir Script Editor desde fuentes no verificadas.
También se aconseja:
- Evitar ejecutar comandos provenientes de páginas web no oficiales
- Confiar únicamente en documentación oficial de Apple
- Desconfiar de guías de optimización no verificadas
- Mantener el sistema y software de seguridad actualizados