ClickLock Stealer: nuevo malware para macOS

Iniciado por Dragora, Hoy a las 12:21:22 PM

Tema anterior - Siguiente tema

0x4ntonio y 13 Visitantes están viendo este tema.


La plataforma macOS vuelve a situarse en el punto de mira de los ciberdelincuentes con la aparición de ClickLock Stealer, un sofisticado malware especializado en el robo de información que utiliza una innovadora técnica de coacción digital para obligar a las víctimas a introducir su contraseña de inicio de sesión. A diferencia de los tradicionales infostealers, este malware no solo emplea ingeniería social para engañar al usuario, sino que también inutiliza progresivamente el sistema operativo hasta convertir el escritorio en un entorno prácticamente inoperable.

Descubierto por los investigadores de Group-IB, ClickLock Stealer ha sido identificado en campañas activas desde mayo de 2026, afectando al menos a 100 víctimas distribuidas en 33 países, con una concentración significativa en Europa. Los expertos consideran que el malware aún se encuentra en desarrollo, aunque su nivel de sofisticación demuestra una clara evolución de las amenazas dirigidas contra equipos Apple.

¿Qué es ClickLock Stealer?

ClickLock Stealer es un malware de robo de información (Infostealer) diseñado específicamente para sistemas macOS. Su principal objetivo es obtener la contraseña del usuario y utilizarla para acceder al Llavero de macOS (Keychain), extraer credenciales almacenadas, descifrar información protegida de Google Chrome y robar datos altamente sensibles como cookies, carteras de criptomonedas, gestores de contraseñas y credenciales FTP.

Lo que diferencia a esta amenaza de otros programas maliciosos es que no depende únicamente del engaño inicial. Si el usuario rechaza introducir su contraseña, el malware responde bloqueando progresivamente el funcionamiento normal del sistema operativo hasta que la víctima cede.

Así comienza el ataque

La cadena de infección inicia mediante una campaña basada en la técnica ClickFix, una modalidad de ingeniería social que ha ganado popularidad durante el último año.

La víctima es dirigida a una página fraudulenta que simula una verificación de Cloudflare mediante un supuesto CAPTCHA acompañado por una barra de progreso falsa.

En lugar de realizar una comprobación legítima, la página solicita al usuario copiar y pegar un comando directamente en la aplicación Terminal de macOS.

Una vez ejecutado el comando, comienza silenciosamente la descarga del malware.

Durante esta fase:

  • Se descargan varias cargas útiles desde sitios web comprometidos.
  • Algunas se ejecutan directamente mediante Bash.
  • Otras se almacenan ocultas en directorios del sistema.
  • Se oculta el cursor del ratón.
  • Se reducen las interrupciones del teclado para dificultar la interacción del usuario.

Todo el proceso está cuidadosamente diseñado para transmitir una falsa sensación de legitimidad.

Un falso cuadro de diálogo roba la contraseña

Tras la instalación inicial, ClickLock presenta una ventana que aparenta ser un cuadro de autenticación oficial de macOS.

El diálogo utiliza:

  • El nombre real del usuario.
  • Un icono de Apple descargado dinámicamente.
  • Una interfaz prácticamente idéntica a la del sistema operativo.

La contraseña introducida no se envía inmediatamente.

Antes de transmitirla, el malware utiliza el comando dscl para comprobar localmente si la contraseña es válida.

Solo cuando la verificación resulta correcta, las credenciales son enviadas a los atacantes.

Este procedimiento evita que los operadores reciban contraseñas erróneas y mejora considerablemente la eficacia de la campaña.

El sistema se convierte en un rehén

La característica más innovadora de ClickLock es su mecanismo de presión psicológica.

Si el usuario decide cancelar el cuadro de autenticación, el malware instala automáticamente dos LaunchAgents, garantizando su persistencia incluso después de reiniciar el equipo.

Durante el siguiente inicio de sesión comienza un auténtico secuestro del escritorio.

Cada 210 milisegundos, el malware fuerza el cierre de aplicaciones esenciales como:

  • Finder.
  • Dock.
  • Spotlight.
  • Terminal.
  • Monitor de Actividad.
  • Safari.
  • Google Chrome.
  • Mozilla Firefox.
  • Microsoft Edge.

Este ciclo puede mantenerse activo durante aproximadamente 83 horas, aunque algunos procesos secundarios permanecen ejecutándose hasta 34 días.

El resultado es un escritorio prácticamente inutilizable donde únicamente permanece visible un cuadro solicitando la contraseña del usuario.

También bloquea las herramientas de seguridad

El malware elimina deliberadamente muchas de las herramientas que normalmente utilizaría un administrador para detener la infección.

Entre ellas:

  • Monitor de Actividad.
  • Terminal.
  • Notification Center.

La desactivación del Centro de Notificaciones durante varias horas también evita que el usuario reciba determinados avisos relacionados con Gatekeeper u otros mecanismos de protección de macOS.

Si Terminal aún no dispone de permisos de Acceso Completo al Disco, el propio malware abre automáticamente la configuración correspondiente e intenta convencer al usuario para que conceda dichos privilegios.

¿Qué información roba ClickLock?

Una vez obtenida la contraseña válida, comienza la fase de exfiltración de datos.

Los investigadores de Group-IB comprobaron que el malware recopila una enorme cantidad de información confidencial.

Entre los datos robados destacan:

  • Contraseña de inicio de sesión de macOS.
  • Llavero (Keychain) completo.
  • Cookies del navegador.
  • Credenciales almacenadas.
  • Historial de navegación.
  • Historial de comandos de Terminal.
  • Archivos de FileZilla.
  • Datos de gestores de contraseñas.
  • Extensiones de billeteras de criptomonedas.
  • Carteras digitales de escritorio.
  • Credenciales FTP.
  • Información de perfiles de navegadores.

Todo este contenido se comprime posteriormente en un archivo ZIP antes de ser enviado al atacante.

El verdadero objetivo: la clave AES de Chrome

Uno de los elementos más valiosos obtenidos por ClickLock es la Chrome Safe Storage Key, la clave AES utilizada por Google Chrome para cifrar localmente:

  • Contraseñas.
  • Cookies.
  • Tokens de autenticación.

Con esta clave, los delincuentes pueden descifrar toda esa información fuera del equipo de la víctima, facilitando el secuestro de sesiones activas y el acceso a múltiples servicios sin necesidad de conocer las contraseñas originales.

Por ello, Group-IB recomienda considerar comprometidas todas las credenciales almacenadas en Chrome tras una infección.

Infraestructura difícil de rastrear

Uno de los aspectos que más llamó la atención de los investigadores es la ausencia de una infraestructura tradicional de comando y control (C2).

En lugar de ello, ClickLock emplea:

  • Bots de Telegram para la exfiltración.
  • Sitios web legítimos previamente comprometidos.
  • Servidores WordPress hackeados.
  • Una versión modificada de GSocket, una conocida herramienta de túneles cifrados de código abierto.

Gracias a esta estrategia, los operadores reducen considerablemente la probabilidad de ser detectados.

Apple ya había intentado bloquear este tipo de ataques

En marzo de 2026 Apple introdujo nuevas medidas de protección en macOS 26.4.

Entre ellas destacan:

  • Advertencias cuando Terminal detecta comandos pegados potencialmente peligrosos.
  • Bloqueo automático de malware conocido.

Sin embargo, estas medidas presentan limitaciones.

Las advertencias únicamente aparecen bajo determinadas circunstancias y continúan ofreciendo un botón que permite ejecutar igualmente el contenido copiado.

Además, la protección depende de que Apple ya conozca previamente el malware.

ClickLock fue desarrollado precisamente para adaptarse a estas nuevas defensas.

Indicadores de compromiso detectados por Group-IB

Los investigadores identificaron varios comportamientos especialmente útiles para detectar esta amenaza.

Entre ellos destacan:

  • Ejecución del comando security find-generic-password desde scripts de shell.
  • Uso de osascript para mostrar falsos cuadros de autenticación.
  • Creación sospechosa de LaunchAgents mediante launchctl.
  • Descarga de archivos utilizando curl canalizado directamente hacia Bash.
  • Lecturas masivas de perfiles de navegadores.
  • Comunicación con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.
  • Finalización repetitiva de procesos mediante killall y pkill.

La presencia conjunta de varios de estos indicadores debe considerarse una fuerte señal de compromiso.

¿Qué hacer si sospechas una infección?

Si un equipo comienza a cerrar continuamente aplicaciones mientras solicita repetidamente la contraseña del sistema, los expertos recomiendan no introducir las credenciales bajo ninguna circunstancia.

Las acciones recomendadas incluyen:

  • Mantener presionado el botón de encendido hasta apagar completamente el Mac.
  • Reiniciar el equipo en Modo Seguro.
  • Analizar el sistema con herramientas antimalware especializadas.
  • Revocar inmediatamente todas las sesiones activas del navegador.
  • Cambiar todas las contraseñas almacenadas.
  • Sustituir las claves de billeteras de criptomonedas si estaban guardadas en el equipo.
  • Revisar el Llavero de macOS y eliminar cualquier elemento sospechoso.

En dispositivos con Apple Silicon, el acceso al Modo Seguro requiere mantener pulsado el botón de encendido hasta que aparezcan las opciones de arranque y seleccionar posteriormente la opción correspondiente.

ClickLock marca una nueva evolución en el malware para macOS

ClickLock Stealer representa un cambio significativo en la evolución de las amenazas dirigidas a macOS. Más allá del robo tradicional de credenciales, introduce una estrategia de coacción interactiva que convierte al propio sistema operativo en un instrumento de presión para obligar al usuario a entregar su contraseña.

La combinación de ingeniería social, persistencia mediante LaunchAgents, robo del Llavero de macOS, extracción de la clave AES de Chrome y uso de infraestructura distribuida basada en Telegram y GSocket demuestra un alto grado de sofisticación. Aunque Apple ha reforzado las defensas de macOS con nuevas funciones de protección, este caso evidencia que los atacantes continúan adaptándose rápidamente a los cambios de seguridad.

Para minimizar el riesgo, es fundamental mantener macOS actualizado, desconfiar de cualquier sitio que solicite ejecutar comandos en Terminal, habilitar soluciones de seguridad avanzadas y formar a los usuarios para identificar campañas de ingeniería social como ClickFix. La prevención sigue siendo la mejor defensa frente a amenazas capaces de convertir un simple clic en el inicio de un compromiso total del sistema.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login