Publicaciones falsas sobre solución de problemas de macOS instalan ladrones de billeteras de criptomonedas

Los atacantes están publicando guías falsas para solucionar problemas de macOS en Medium, Craft y Squarespace. El objetivo es que los usuarios ejecuten comandos de Terminal que instalen malware dirigido a los datos de iCloud, las contraseñas guardadas y las carteras de criptomonedas.

El equipo de investigación de seguridad de Microsoft Defender publicó los resultados. La campaña lleva activa desde finales de 2025 y se aprovecha de los usuarios de Mac que buscan ayuda para solucionar problemas comunes como liberar espacio en disco o corregir errores del sistema.

En lugar de ofrecer una solución legítima, las páginas indican a los usuarios que copien un comando y lo peguen en la terminal. Ese comando descarga y ejecuta malware.

Las publicaciones engañosas del blog instan a los lectores a copiar un comando malicioso y pegarlo en la terminal. Este comando descarga malware y lo ejecuta en la computadora de la víctima.

La técnica se llama ClickFix. Se trata de ingeniería social que traslada la responsabilidad del lanzamiento del malware a la víctima. Dado que el usuario ejecuta el comando directamente en la Terminal, macOS Gatekeeper nunca inspecciona el malware.

Normalmente, Gatekeeper comprueba la firma de código y la certificación notarial de los paquetes de aplicaciones abiertos a través de Finder, pero este método lo evita por completo.

Los atacantes lanzaron tres campañas con el mismo objetivo

Microsoft detectó tres instaladores de campaña:

1. Una cargadora.
2. Un guion.
3. Un ayudante.

Los tres métodos recopilan datos confidenciales, establecen persistencia y extraen la información robada a los servidores del atacante.

Entre las familias de malware se incluyen AMOS, Macsync y SHub Stealer. Si se instala alguno de estos tres programas maliciosos, este intenta robar los datos de las cuentas de iCloud y Telegram. Luego, busca documentos y fotos privadas de menos de 2 MB. Además,traclas claves de monederos de criptomonedas de Exodus, Ledger y Trezor, y roba los nombres de usuario y contraseñas guardados en Chrome y Firefox.

Tras la instalación, el malware muestra un cuadro de diálogo falso y solicita una contraseña del sistema para instalar una "herramienta auxiliar". Si el usuario introduce la contraseña, el atacante obtiene acceso completo a los archivos y la configuración del sistema.

En algunos casos, los investigadores descubrieron que los atacantes eliminaban aplicaciones legítimas de monederos de criptomonedas y las reemplazaban por versiones troyanizadas diseñadas para monitorear las transacciones y robar fondos.

Trezor Suite, Ledger Wallet y Exodus fueron algunas de las principales aplicaciones objetivo de este ataque.

La campaña de carga también incluye un interruptor de apagado. El malware deja de ejecutarse si detecta una distribución de teclado rusa.

Investigadores de seguridad observaron que los atacantes utilizaban curl, osascript y otras utilidades nativas de macOS para ejecutar malware directamente en la memoria. Este método, que no utiliza archivos, dificulta la detección por parte de las herramientas antivirus estándar.

Los atacantes van tras los desarrolladores de criptomonedas

Investigadores de seguridad de ANY[.]RUN descubrieron una operación del Grupo Lazarus llamada “Mach-O Man”. Los hackers utilizaron la misma técnica de ClickFix mediante invitaciones a reuniones falsas. Su objetivo eran los equipos de empresas de tecnología financiera y criptomonedas, donde macOS es común.

Cryptopolitan publicó un artículo sobre la campaña de PromptMink.

El grupo norcoreano Famous Chollima introdujo un paquete npm malicioso en un proyecto de comercio de criptomonedas mediante un cambio generado por IA. Utilizando un enfoque de paquete de dos capas, el malware obtuvo acceso a los datos de la billetera y a la información confidencial del sistema.

Ambas campañas demuestran que los datos de las billeteras de criptomonedas son valiosos. Los atacantes están adaptando sus métodos de ataque, desde publicaciones falsas en blogs hasta la infiltración en la cadena de suministro asistida por IA, para obtenerlos.