ClickFix y AMOS: Campaña de malware en macOS

Los investigadores de ciberseguridad han detectado una nueva campaña maliciosa que utiliza la táctica de ingeniería social ClickFix para infectar sistemas Apple macOS con Atomic macOS Stealer (AMOS), un ladrón de información especializado en robar credenciales y datos sensibles.

Según un informe publicado por CloudSEK, esta campaña de malware emplea dominios typosquat que imitan a empresas legítimas, como el proveedor estadounidense de telecomunicaciones Spectrum. Estos sitios falsos, como panel-spectrum[.]net y spectrum-ticket[.]neto, redirigen a los usuarios a una supuesta verificación de seguridad mediante CAPTCHA. Sin embargo, al hacer clic en la opción "Soy humano", se muestra un mensaje de error seguido de una "Verificación alternativa" que instruye a los usuarios a ejecutar comandos maliciosos.

Cómo funciona el ataque ClickFix en macOS

Cuando un usuario accede a estos sitios fraudulentos, se copia automáticamente un script de shell en su portapapeles. Luego, se le presentan instrucciones específicas según su sistema operativo. Para usuarios de macOS, el guion les pide abrir la Terminal e ingresar su contraseña para ejecutar el script, el cual descarga y ejecuta el malware AMOS, diseñado para:

• Robar contraseñas del sistema.
• Eludir controles de seguridad.
• Comunicar datos robados a un servidor de comando y control (C2).

Este tipo de ataque aprovecha la fatiga del usuario ante verificaciones constantes, lo que facilita el engaño y la ejecución del malware.

Origen y características del malware AMOS

El Atomic macOS Stealer es una amenaza activa en foros de ciberdelincuencia y se actualiza constantemente. En esta campaña, se ha identificado la presencia de comentarios en ruso en el código fuente, lo que sugiere su origen en grupos de habla rusa.

El informe también destaca errores en la implementación del sitio malicioso, como instrucciones confusas para los diferentes sistemas operativos. Por ejemplo, a los usuarios de Linux se les ofrecía un comando de PowerShell, mientras que tanto usuarios de Windows como macOS veían la instrucción "Mantenga presionada la tecla de Windows + R".

Crecimiento de campañas ClickFix y otras variantes

La campaña forma parte de una tendencia creciente en la que los actores de amenazas utilizan ClickFix como técnica de ingeniería social para distribuir diversas familias de malware, incluyendo:

• Troyanos de acceso remoto (RAT).
• Ladrones de información como Lumma y StealC.
• Herramientas como XWorm RAT, PureLogs Stealer y DanaBot.

Cofense también ha reportado campañas similares que suplantan a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, especialmente dirigidas a cadenas hoteleras y empresas del sector de alimentos, utilizando CAPTCHAs falsos para inducir la descarga de scripts maliciosos.

Además, se han detectado versiones falsas de CAPTCHA populares, como Google reCAPTCHA y Cloudflare Turnstile, en campañas que buscan camuflar los intentos de infección como verificaciones rutinarias.

Impacto global y tácticas de evasión

La firma Darktrace ha documentado múltiples incidentes relacionados con ClickFix en clientes ubicados en Europa, Medio Oriente, África y Estados Unidos. Estas campañas comparten patrones comunes:

• Uso de phishing dirigido (spear phishing).
• Distribución de malware mediante sitios web comprometidos o typosquatting.
• Verificaciones falsas de seguridad como método de distracción.
• Evasión de mecanismos de seguridad a través de scripts nativos del sistema.

En un incidente de abril de 2025, actores desconocidos utilizaron ClickFix para entregar malware que permitía el movimiento lateral en redes corporativas y la exfiltración de datos sensibles mediante solicitudes HTTP POST.

Cómo protegerse de la amenaza ClickFix

El éxito de estas campañas radica en su capacidad para explotar errores humanos mediante ingeniería social bien ejecutada. Los atacantes se benefician de la automatización del comportamiento del usuario, que tiende a hacer clic en verificaciones y aceptar mensajes sin cuestionarlos.

Recomendaciones para usuarios y empresas:

• Nunca ejecutar scripts sugeridos por sitios desconocidos.
• Desconfiar de verificaciones CAPTCHA que soliciten comandos del sistema.
• Utilizar soluciones antimalware actualizadas y específicas para macOS.
• Capacitar a los empleados en detección de técnicas de phishing avanzado.

Con la proliferación de campañas como esta, es esencial adoptar una postura proactiva en materia de ciberseguridad para evitar compromisos y proteger datos confidenciales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta