Los investigadores de ciberseguridad están alertando a una nueva campaña de malware que emplea la táctica de ingeniería social ClickFix para engañar a los usuarios para que descarguen un malware de robador de información conocido como Atomic MacOS Stealer (AMOS) en los sistemas Apple Macos.
Se ha enemigo que la campaña, según CloudSek, aprovecha los dominios para escribir un tipo de tipoquema que imitan el espectro de proveedores de telecomunicaciones con sede en los Estados Unidos.
«Los usuarios de MacOS reciben un script de shell bellaco diseñado para robar contraseñas del sistema y descargar una cambio de AMOS para una viejo explotación», dijo el investigador de seguridad Koushik Pal en un referencia publicado esta semana. «El script utiliza comandos de macOS nativos para cosechar credenciales, prescindir mecanismos de seguridad y ejecutar binarios maliciosos».
Se cree que la actividad es el trabajo de los ciberdelincuentes de deje rusa conveniente a la presencia de comentarios del idioma ruso en el código fuente del malware.
El punto de partida del ataque es una página web que se hace advenir por Spectrum («Panel-Spectrum (.) Net» o «Spectrum-Ticket (.) Net»). Los visitantes de los sitios en cuestión reciben un mensaje que les indica que complete una comprobación de comprobación HCaptcha para «revisar la seguridad» de su conexión ayer de continuar.
Sin incautación, cuando el becario hace clic en la casilla de comprobación «Soy humano» para su evaluación, se muestra un mensaje de error que indica «Falló la comprobación CaptCha», instándoles a hacer clic en un brote para seguir delante con una «comprobación alternativa».
Hacerlo hace que un comando se copie en el portapapeles de los usuarios y la víctima se le muestra un conjunto de instrucciones dependiendo de su sistema operante. Si aceptablemente se guían a ejecutar un comando PowerShell en Windows abriendo el diálogo de Windows Run, se sustituye por un script de shell que se ejecuta al iniciar la aplicación Terminal en macOS.
El script de shell, por su parte, solicita a los usuarios que ingresen la contraseña de su sistema y descargue una carga útil de la próxima etapa, en este caso, un robador conocido llamado Atomic Stealer.
«La dialéctica mal implementada en los sitios de entrega, como las instrucciones no coincidentes en las plataformas, apunta a la infraestructura apresurada», dijo Pal.
«Las páginas de entrega en cuestión para esta campaña de variantes de AMOS contenían inexactitudes tanto en su programación como en su dialéctica delantero. Para los agentes de usuarios de Linux, se copió un comando PowerShell. Por otra parte, las instrucciones ‘presionar y suministrar la tecla Windows + R’ se mostró a los usuarios de Windows y Mac».
La divulgación se produce en medio de un aumento en las campañas que utilizan la táctica de ClickFix para ofrecer una amplia tonalidad de familias de malware durante el año pasado.
«Los actores que llevan a mango estos ataques específicos generalmente utilizan técnicas, herramientas y procedimientos similares (TTP) para obtener comunicación original», dijo Darktrace. «Estos incluyen ataques de phishing de bichero, compromisos de manejo o explotación de confianza en plataformas familiares en secante, como GitHub, para ofrecer cargas efectos maliciosas».
Los enlaces distribuidos utilizando estos vectores generalmente redirigen al becario final a una URL maliciosa que muestra una comprobación de comprobación Captcha falsa y lo completa en un intento de engañar a los usuarios para que piensen que están llevando a mango poco inocuo, cuando, en ingenuidad, están guiados para ejecutar comandos maliciosos para solucionar un problema no existente.
El resultado final de este método efectivo de ingeniería social es que los usuarios terminan comprometiendo sus propios sistemas, sin advenir por suspensión los controles de seguridad.
En un incidente de abril de 2025 analizado por DarkTrace, se descubrió que los actores de amenaza desconocidos utilizaban ClickFix como un vector de ataque para descargar cargas efectos no seguidas para excavar en el entorno objetivo, realizar movimiento supletorio, cursar información relacionada con el sistema a un servidor forastero a través de una solicitud de post HTTP y finalmente exfiltrar datos.
«El cebo de ClickFix es una táctica ampliamente utilizada en la que los actores de amenaza explotan el error humano para evitar las defensas de seguridad», dijo Darktrace. «Al engañar a los usuarios de punto final para que realicen acciones aparentemente inofensivas y cotidianas, los atacantes obtienen comunicación original a los sistemas donde pueden alcanzar y exfiltrar datos confidenciales».
Otros ataques de ClickFix han empleado versiones falsas de otros servicios populares de Captcha como Google Recaptcha y Cloudflare Turnstile para la entrega de malware bajo la apariencia de controles de seguridad de rutina.
Estas páginas falsas son «copias perfectas de píxeles» de sus homólogos legítimos, a veces incluso inyectadas en sitios web reales pero tripulados para engañar a los usuarios desprevenidos. Los robadores como Lumma y STEALC, así como troyanos de comunicación remoto (ratas) (ratas) como ratas de soporte de NetS son algunas de las cargas efectos distribuidas a través de páginas falsas de tornas.
«Los usuarios modernos de Internet están inundados con cheques de spam, captchas y indicaciones de seguridad en los sitios web, y han sido condicionados a hacer clic lo más rápido posible», dijo Daniel Kelley de Slashnext. «Los atacantes explotan esta ‘penuria de comprobación’, sabiendo que muchos usuarios cumplirán con los pasos que se presenten si se ve rutinario».
