### Atomic Stealer evoluciona: nueva campaña compromete macOS a través de Script Editor

#### Introducción

En las últimas semanas, investigadores en seguridad han detectado una campaña activa orientada a usuarios de macOS, centrada en la entrega del conocido malware Atomic Stealer (AMOS). En esta ocasión, los atacantes han perfeccionado sus técnicas, abusando del Script Editor de macOS en una variante sofisticada del ataque ClickFix, anteriormente conocido por engañar a los usuarios para ejecutar comandos maliciosos en Terminal. El regreso de AMOS, potenciado con nuevos vectores de ataque, subraya la creciente profesionalización de las amenazas dirigidas al ecosistema de Apple y plantea desafíos específicos para CISOs, analistas SOC y pentesters.

#### Contexto del Incidente o Vulnerabilidad

Atomic Stealer, identificado por primera vez en 2023, se ha consolidado como uno de los infostealers más efectivos contra macOS, caracterizándose por el robo de credenciales, wallets de criptomonedas y datos almacenados en navegadores. Tradicionalmente, AMOS se distribuía a través de instaladores falsos y campañas de malvertising. Sin embargo, la presente campaña introduce una variante basada en ingeniería social, donde los usuarios son inducidos a ejecutar scripts maliciosos a través del Script Editor, una aplicación legítima del sistema.

Esta evolución del ataque ClickFix revela una tendencia creciente a explotar las propias herramientas de macOS para evadir las soluciones tradicionales de detección y respuesta, y pone de manifiesto la necesidad de reforzar la concienciación y las políticas de ejecución de código en entornos empresariales.

#### Detalles Técnicos

La campaña se basa en la distribución de archivos maliciosos a través de sitios web comprometidos y correos de phishing, que simulan ser actualizaciones de software o documentos legítimos. Una vez descargados, estos archivos contienen scripts personalizados diseñados para ser abiertos mediante el Script Editor de macOS. Al solicitar al usuario que otorgue permisos para ejecutar el script, el atacante sortea la mayoría de las restricciones impuestas por Gatekeeper y XProtect.

El script implementa los siguientes TTPs del marco MITRE ATT&CK:
– **Execution (T1059.002):** Uso de AppleScript para automatizar la ejecución de comandos y descargar payloads adicionales.
– **User Execution (T1204):** Ingeniería social para que el usuario ejecute el script manualmente.
– **Credential Access (T1555):** Robo de credenciales almacenadas en Keychain y navegadores.
– **Collection (T1119):** Exfiltración de documentos y archivos relevantes.

Atomic Stealer, tras su ejecución, emplea técnicas de persistencia como la creación de LaunchAgents y manipulación de archivos plist. Los Indicadores de Compromiso (IoC) identificados incluyen hashes SHA256 de los scripts, rutas inusuales en ~/Library/LaunchAgents y conexiones a C2 en dominios recientemente registrados.

Hasta la fecha, se han detectado versiones de AMOS dirigidas a macOS Ventura (13.x) y Sonoma (14.x), afectando potencialmente al 35% del parque instalado de equipos Apple en entornos corporativos, según datos de Statcounter y los informes de telemetría de EDR.

#### Impacto y Riesgos

El impacto de este ataque se traduce en el acceso no autorizado a información sensible, incluyendo credenciales corporativas, datos bancarios y carteras de criptomonedas. La facilidad con la que los scripts pueden sortear protecciones nativas de macOS incrementa el riesgo de escalada lateral en entornos empresariales. Además, la exfiltración rápida de datos puede desencadenar incidentes de cumplimiento normativo bajo RGPD y NIS2, con potenciales sanciones económicas y daños reputacionales.

Se estima que la campaña ha generado pérdidas superiores a 2 millones de dólares a nivel global por robo de fondos y venta de credenciales en foros clandestinos. La sofisticación del vector de ataque dificulta la detección por parte de soluciones antimalware tradicionales, aumentando la superficie de exposición.

#### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de infección por Atomic Stealer, los expertos recomiendan:

– Restringir el uso del Script Editor a personal autorizado y monitorizar su ejecución mediante herramientas EDR.
– Desplegar políticas de restricción de ejecución de scripts y binarios no firmados a través de MDM (Mobile Device Management).
– Aplicar segmentación de red y monitorización de tráfico para detectar conexiones sospechosas a dominios de C2.
– Mantener tanto el sistema operativo como las aplicaciones actualizadas y revisar regularmente la configuración de Gatekeeper y XProtect.
– Formar a los usuarios sobre los peligros de ejecutar scripts desconocidos y reforzar la concienciación frente a ataques de ingeniería social.
– Validar los IoC publicados en los últimos informes de amenazas y actualizar las reglas de detección en SIEM y EDR.

#### Opinión de Expertos

David Álvarez, analista de amenazas en una firma europea de ciberseguridad, destaca: “El uso del Script Editor representa una evolución lógica de los ataques a macOS, ya que explota la confianza de los usuarios en herramientas nativas. La frontera entre actividad legítima y maliciosa se estrecha, lo que exige un enfoque basado en el comportamiento y no solo en firmas conocidas”.

Por su parte, expertos de la comunidad forense recomiendan reforzar la telemetría en endpoints Apple e implementar análisis heurísticos para detectar patrones anómalos de uso de Script Editor y AppleScript.

#### Implicaciones para Empresas y Usuarios

Las organizaciones que utilicen ecosistemas Apple deben revisar de inmediato sus políticas de seguridad, especialmente en sectores como finanzas, legal y tecnología, donde la fuga de credenciales y datos sensibles puede tener consecuencias catastróficas. Además, el cumplimiento de regulaciones como RGPD y NIS2 obliga a las empresas a reportar brechas de seguridad y demostrar la aplicación de medidas proactivas de protección.

Para los usuarios, la principal recomendación es desconfiar de cualquier solicitud para ejecutar scripts o permitir permisos elevados, incluso si la fuente parece legítima.

#### Conclusiones

La campaña que aprovecha Script Editor para propagar Atomic Stealer evidencia la constante evolución de las amenazas en macOS y la necesidad de un enfoque de defensa en profundidad. La combinación de ingeniería social, abuso de herramientas legítimas y técnicas de evasión sofisticadas exige a los responsables de seguridad reforzar tanto la protección tecnológica como la formación y concienciación del usuario final.

(Fuente: www.bleepingcomputer.com)