Los investigadores de ciberseguridad están alertando a una nueva campaña de malware que emplea la táctica de ingeniería social ClickFix para engañar a los usuarios para que descarguen un malware de robador de información conocido como Atomic MacOS Stealer (AMOS) en los sistemas Apple Macos.
Se ha incompatible que la campaña, según CloudSek, aprovecha los dominios para escribir un tipo de tipoquema que imitan el espectro de proveedores de telecomunicaciones con sede en los Estados Unidos.
“Los usuarios de MacOS reciben un script de shell desconfiado diseñado para robar contraseñas del sistema y descargar una transformación de AMOS para una longevo explotación”, dijo el investigador de seguridad Koushik Pal en un documentación publicado esta semana. “El script utiliza comandos de macOS nativos para cosechar credenciales, olvidar mecanismos de seguridad y ejecutar binarios maliciosos”.
Se cree que la actividad es el trabajo de los ciberdelincuentes de acento rusa adecuado a la presencia de comentarios del idioma ruso en el código fuente del malware.
El punto de partida del ataque es una página web que se hace producirse por Spectrum (“Panel-Spectrum (.) Net” o “Spectrum-Ticket (.) Net”). Los visitantes de los sitios en cuestión reciben un mensaje que les indica que complete una comprobación de comprobación HCaptcha para “revisar la seguridad” de su conexión antiguamente de continuar.
Sin retención, cuando el adjudicatario hace clic en la casilla de comprobación “Soy humano” para su evaluación, se muestra un mensaje de error que indica “Falló la comprobación CaptCha”, instándoles a hacer clic en un rama para seguir delante con una “comprobación alternativa”.
Hacerlo hace que un comando se copie en el portapapeles de los usuarios y la víctima se le muestra un conjunto de instrucciones dependiendo de su sistema operante. Si perfectamente se guían a ejecutar un comando PowerShell en Windows abriendo el diálogo de Windows Run, se sustituye por un script de shell que se ejecuta al iniciar la aplicación Terminal en macOS.
El script de shell, por su parte, solicita a los usuarios que ingresen la contraseña de su sistema y descargue una carga útil de la próxima etapa, en este caso, un robador conocido llamado Atomic Stealer.
“La método mal implementada en los sitios de entrega, como las instrucciones no coincidentes en las plataformas, apunta a la infraestructura apresurada”, dijo Pal.
“Las páginas de entrega en cuestión para esta campaña de variantes de AMOS contenían inexactitudes tanto en su programación como en su método delantero. Para los agentes de usuarios de Linux, se copió un comando PowerShell. Por otra parte, las instrucciones ‘presionar y abastecer la tecla Windows + R’ se mostró a los usuarios de Windows y Mac”.
La divulgación se produce en medio de un aumento en las campañas que utilizan la táctica de ClickFix para ofrecer una amplia serie de familias de malware durante el año pasado.
“Los actores que llevan a sitio estos ataques específicos generalmente utilizan técnicas, herramientas y procedimientos similares (TTP) para obtener ataque auténtico”, dijo Darktrace. “Estos incluyen ataques de phishing de lanceta, compromisos de manejo o explotación de confianza en plataformas familiares en serie, como GitHub, para ofrecer cargas bártulos maliciosas”.
Los enlaces distribuidos utilizando estos vectores generalmente redirigen al adjudicatario final a una URL maliciosa que muestra una comprobación de comprobación Captcha falsa y lo completa en un intento de engañar a los usuarios para que piensen que están llevando a sitio poco inocuo, cuando, en existencia, están guiados para ejecutar comandos maliciosos para solucionar un problema no existente.
El resultado final de este método efectivo de ingeniería social es que los usuarios terminan comprometiendo sus propios sistemas, sin producirse por detención los controles de seguridad.
En un incidente de abril de 2025 analizado por DarkTrace, se descubrió que los actores de amenaza desconocidos utilizaban ClickFix como un vector de ataque para descargar cargas bártulos no seguidas para excavar en el entorno objetivo, realizar movimiento pegado, despachar información relacionada con el sistema a un servidor foráneo a través de una solicitud de post HTTP y finalmente exfiltrar datos.
“El cebo de ClickFix es una táctica ampliamente utilizada en la que los actores de amenaza explotan el error humano para evitar las defensas de seguridad”, dijo Darktrace. “Al engañar a los usuarios de punto final para que realicen acciones aparentemente inofensivas y cotidianas, los atacantes obtienen ataque auténtico a los sistemas donde pueden conseguir y exfiltrar datos confidenciales”.
Otros ataques de ClickFix han empleado versiones falsas de otros servicios populares de Captcha como Google Recaptcha y Cloudflare Turnstile para la entrega de malware bajo la apariencia de controles de seguridad de rutina.
Estas páginas falsas son “copias perfectas de píxeles” de sus homólogos legítimos, a veces incluso inyectadas en sitios web reales pero tripulados para engañar a los usuarios desprevenidos. Los robadores como Lumma y STEALC, así como troyanos de ataque remoto (ratas) (ratas) como ratas de soporte de NetS son algunas de las cargas bártulos distribuidas a través de páginas falsas de tornas.
“Los usuarios modernos de Internet están inundados con cheques de spam, captchas y indicaciones de seguridad en los sitios web, y han sido condicionados a hacer clic lo más rápido posible”, dijo Daniel Kelley de Slashnext. “Los atacantes explotan esta ‘sofocación de comprobación’, sabiendo que muchos usuarios cumplirán con los pasos que se presenten si se ve rutinario”.
