Security

Campaña ClickFix en macOS distribuye infostealers

3 min de lectura

Resumen

Microsoft ha identificado una nueva campaña de estilo ClickFix dirigida a usuarios de macOS mediante falsas instrucciones de solución de problemas y utilidades alojadas en blogs y plataformas de contenido. En lugar de descargar aplicaciones, se engaña a las víctimas para que ejecuten comandos en Terminal que eluden las comprobaciones típicas de apps en macOS y despliegan infostealers como Macsync, SHub Stealer y AMOS.

¿Necesita ayuda con Security?Hablar con un experto

Introducción

Microsoft está siguiendo una campaña ClickFix en evolución que ahora apunta a usuarios de macOS mediante contenido falso de solución de problemas e instrucciones fraudulentas para instalar utilidades. Esto importa porque el ataque se aleja de las descargas tradicionales de aplicaciones y, en su lugar, abusa de comandos de Terminal, lo que ayuda a los atacantes a evitar algunas de las protecciones que los usuarios esperan de las instalaciones estándar de aplicaciones en macOS.

Qué hay de nuevo

Microsoft afirma que los actores de amenazas están publicando consejos falsos sobre macOS en sitios web independientes, Medium, Craft y plataformas similares impulsadas por usuarios. Los señuelos suelen afirmar que ayudan con problemas comunes, como liberar espacio en disco o corregir fallos del sistema.

Los cambios clave en esta campaña incluyen:

  • Se indica a los usuarios que peguen comandos codificados en Base64 u ofuscados en Terminal
  • Los comandos recuperan contenido remoto e inician loaders basados en scripts
  • Los atacantes usan herramientas nativas como curl, osascript e intérpretes de shell
  • Este método evita las comprobaciones normales de estilo Gatekeeper aplicadas a los paquetes de aplicaciones abiertos en Finder
  • Las cargas útiles observadas incluyen Macsync, SHub Stealer y AMOS

Microsoft también identificó tres rutas de ejecución:

  • Campaña de instalación de loader
  • Campaña de instalación mediante script
  • Campaña de instalación de helper

En todas estas variantes, el objetivo es consistente: recopilar credenciales y archivos sensibles, establecer persistencia y exfiltrar datos.

Por qué importa para los administradores de TI

El malware va más allá del simple robo de credenciales. Según Microsoft, estos infostealers pueden recopilar:

  • Entradas de Keychain
  • Datos de cuentas de iCloud
  • Credenciales del navegador
  • Datos de Telegram
  • Archivos multimedia y documentos
  • Datos de wallets de criptomonedas

Algunas variantes también reemplazan aplicaciones legítimas de wallets de criptomonedas por versiones troyanizadas, lo que aumenta el riesgo de robo financiero.

Para los equipos de seguridad, la mayor preocupación es la ejecución impulsada por el usuario. Como la víctima ejecuta manualmente comandos en Terminal, los atacantes reducen la dependencia de paquetes de aplicaciones maliciosas y aumentan la probabilidad de comprometer el sistema con éxito.

Acciones recomendadas

Los administradores y equipos de seguridad deben seguir estos pasos:

  • Educar a los usuarios para que no peguen comandos en Terminal desde blogs, foros o páginas de solución de problemas
  • Supervisar el uso sospechoso de curl, osascript, intérpretes de shell y la creación inesperada de LaunchAgent o LaunchDaemon
  • Investigar rutas de preparación como /tmp/shub_<random ID> y la creación inusual de archivos comprimidos en /tmp
  • Revisar detecciones de exfiltración de datos, solicitudes de credenciales y persistencia vinculada a servicios de actualización falsos
  • Priorizar la protección de aplicaciones relacionadas con criptomonedas y almacenes de datos sensibles del usuario como Keychain

Conclusión

Esta campaña ClickFix en macOS muestra cómo la ingeniería social está adaptándose para eludir las defensas tradicionales basadas en aplicaciones. Para los defensores, la concienciación del usuario, la supervisión de endpoints y la detección de ejecución sospechosa de scripts son ahora fundamentales para detener estas cadenas de infostealers antes de que se roben los datos.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team
macOS securityClickFixinfostealerMicrosoft Defendermalware

Artículos relacionados

Security

Campaña de phishing AiTM contra usuarios de Microsoft 365

Microsoft ha detallado una campaña de phishing adversary-in-the-middle (AiTM) a gran escala que utilizó falsas investigaciones de código de conducta para robar tokens de autenticación. El ataque combinó ingeniería social elaborada, páginas CAPTCHA escalonadas y un flujo legítimo de inicio de sesión de Microsoft, lo que subraya por qué son importantes las protecciones resistentes al phishing y unas defensas de correo más sólidas.

Security

CVE-2026-31431 en Linux: amenaza de root

Microsoft ha detallado CVE-2026-31431, una falla de escalada local de privilegios en Linux de alta gravedad que puede otorgar acceso root en las principales distribuciones y cargas de trabajo alojadas en la nube. El problema es importante porque afecta a entornos de kernel compartido, como contenedores y Kubernetes, lo que aumenta el riesgo de escape de contenedores, movimiento lateral y compromiso del host si los sistemas no se corrigen rápidamente.

Security

Microsoft Agent 365 GA: seguridad y control AI

Microsoft Agent 365 ya está disponible con carácter general para clientes comerciales, ofreciendo a los equipos de TI y seguridad un plano de control unificado para observar, gobernar y proteger agentes de AI en Microsoft 365, endpoints y entornos en la nube. Las nuevas capacidades en preview también amplían la visibilidad a shadow AI, agentes locales de Windows, plataformas de agentes multicloud y controles basados en directivas mediante Defender e Intune.

Security

Panorama de amenazas por email Q1 2026: claves

Microsoft informa que detectó 8,3 mil millones de correos de phishing en el Q1 2026, con más del doble de phishing mediante códigos QR y campañas con CAPTCHA en rápida evolución. Los hallazgos importan a los equipos de seguridad porque los atacantes están cambiando hacia el robo de credenciales basado en enlaces, mientras que las acciones contra Tycoon2FA demuestran que la respuesta coordinada puede reducir el impacto del phishing.

Security

Actualizaciones de Microsoft Security para Agent 365

Microsoft ha anunciado nuevas capacidades de seguridad en Agent 365, Defender for Cloud, GitHub Advanced Security y Microsoft Purview. Las actualizaciones se centran en mejorar la visibilidad de la actividad de los agentes de AI, reforzar la protección desde el código hasta el runtime y acelerar las investigaciones de seguridad de datos para los equipos de seguridad y TI.

Security

Revisiones de riesgo CISO: 8 prácticas de Microsoft

Microsoft ha publicado un marco práctico para que los CISO y los líderes de seguridad realicen revisiones de riesgo más eficaces en un contexto de ciberamenazas impulsadas por AI cada vez mayores. La guía se centra en ocho áreas de revisión, desde activos y aplicaciones hasta autenticación, autorización y aislamiento de red, para ayudar a las organizaciones a pasar de una respuesta reactiva a una reducción proactiva del riesgo.