Los investigadores de ciberseguridad están alertando a una nueva campaña de malware que emplea la táctica de ingeniería social ClickFix para engañar a los usuarios para que descarguen un malware de robador de información conocido como Atomic MacOS Stealer (AMOS) en los sistemas Apple Macos.
Se ha encontrado que la campaña, según CloudSek, aprovecha los dominios para escribir un tipo de tipoquema que imitan el espectro de proveedores de telecomunicaciones con sede en los Estados Unidos.
«Los usuarios de MacOS reciben un script de shell malicioso diseñado para robar contraseñas del sistema y descargar una variante de AMOS para una mayor explotación», dijo el investigador de seguridad Koushik Pal en un informe publicado esta semana. «El script utiliza comandos de macOS nativos para cosechar credenciales, omitir mecanismos de seguridad y ejecutar binarios maliciosos».
Se cree que la actividad es el trabajo de los ciberdelincuentes de habla rusa debido a la presencia de comentarios del idioma ruso en el código fuente del malware.
El punto de partida del ataque es una página web que se hace pasar por Spectrum («Panel-Spectrum (.) Net» o «Spectrum-Ticket (.) Net»). Los visitantes de los sitios en cuestión reciben un mensaje que les indica que complete una verificación de verificación HCaptcha para «revisar la seguridad» de su conexión antes de continuar.
Sin embargo, cuando el usuario hace clic en la casilla de verificación «Soy humano» para su evaluación, se muestra un mensaje de error que indica «Falló la verificación CaptCha», instándoles a hacer clic en un botón para seguir adelante con una «verificación alternativa».
Hacerlo hace que un comando se copie en el portapapeles de los usuarios y la víctima se le muestra un conjunto de instrucciones dependiendo de su sistema operativo. Si bien se guían a ejecutar un comando PowerShell en Windows abriendo el diálogo de Windows Run, se sustituye por un script de shell que se ejecuta al iniciar la aplicación Terminal en macOS.
El script de shell, por su parte, solicita a los usuarios que ingresen la contraseña de su sistema y descargue una carga útil de la próxima etapa, en este caso, un robador conocido llamado Atomic Stealer.
«La lógica mal implementada en los sitios de entrega, como las instrucciones no coincidentes en las plataformas, apunta a la infraestructura apresurada», dijo Pal.
«Las páginas de entrega en cuestión para esta campaña de variantes de AMOS contenían inexactitudes tanto en su programación como en su lógica frontal. Para los agentes de usuarios de Linux, se copió un comando PowerShell. Además, las instrucciones ‘presionar y mantener la tecla Windows + R’ se mostró a los usuarios de Windows y Mac».
La divulgación se produce en medio de un aumento en las campañas que utilizan la táctica de ClickFix para ofrecer una amplia gama de familias de malware durante el año pasado.
«Los actores que llevan a cabo estos ataques específicos generalmente utilizan técnicas, herramientas y procedimientos similares (TTP) para obtener acceso inicial», dijo Darktrace. «Estos incluyen ataques de phishing de lanza, compromisos de manejo o explotación de confianza en plataformas familiares en línea, como GitHub, para ofrecer cargas útiles maliciosas».
Los enlaces distribuidos utilizando estos vectores generalmente redirigen al usuario final a una URL maliciosa que muestra una verificación de verificación Captcha falsa y lo completa en un intento de engañar a los usuarios para que piensen que están llevando a cabo algo inocuo, cuando, en realidad, están guiados para ejecutar comandos maliciosos para solucionar un problema no existente.
El resultado final de este método efectivo de ingeniería social es que los usuarios terminan comprometiendo sus propios sistemas, sin pasar por alto los controles de seguridad.
En un incidente de abril de 2025 analizado por DarkTrace, se descubrió que los actores de amenaza desconocidos utilizaban ClickFix como un vector de ataque para descargar cargas útiles no seguidas para excavar en el entorno objetivo, realizar movimiento lateral, enviar información relacionada con el sistema a un servidor externo a través de una solicitud de post HTTP y finalmente exfiltrar datos.
«El cebo de ClickFix es una táctica ampliamente utilizada en la que los actores de amenaza explotan el error humano para evitar las defensas de seguridad», dijo Darktrace. «Al engañar a los usuarios de punto final para que realicen acciones aparentemente inofensivas y cotidianas, los atacantes obtienen acceso inicial a los sistemas donde pueden acceder y exfiltrar datos confidenciales».
Otros ataques de ClickFix han empleado versiones falsas de otros servicios populares de Captcha como Google Recaptcha y Cloudflare Turnstile para la entrega de malware bajo la apariencia de controles de seguridad de rutina.
Estas páginas falsas son «copias perfectas de píxeles» de sus homólogos legítimos, a veces incluso inyectadas en sitios web reales pero tripulados para engañar a los usuarios desprevenidos. Los robadores como Lumma y STEALC, así como troyanos de acceso remoto (ratas) (ratas) como ratas de soporte de NetS son algunas de las cargas útiles distribuidas a través de páginas falsas de tornas.
«Los usuarios modernos de Internet están inundados con cheques de spam, captchas y indicaciones de seguridad en los sitios web, y han sido condicionados a hacer clic lo más rápido posible», dijo Daniel Kelley de Slashnext. «Los atacantes explotan esta ‘fatiga de verificación’, sabiendo que muchos usuarios cumplirán con los pasos que se presenten si se ve rutinario».