Ataques dirigidos a desarrolladores de macOS: campañas con falsos instaladores de Homebrew y LogMeIn propagan infostealers AMOS y Odyssey

Introducción

En las últimas semanas, se ha detectado una sofisticada campaña de amenazas dirigida específicamente a desarrolladores de macOS. Los actores maliciosos están distribuyendo versiones falsificadas de herramientas populares como Homebrew, LogMeIn y TradingView a través de sitios web fraudulentos y técnicas de SEO poisoning. El objetivo final es la infección de los sistemas de las víctimas con infostealers avanzados como AMOS (Atomic macOS Stealer) y Odyssey, con el fin de robar credenciales, datos bancarios y otra información sensible. Este artículo desglosa el incidente desde una perspectiva técnica, incidiendo en los riesgos reales para profesionales del sector y las medidas de mitigación recomendadas.

Contexto del Incidente

Los atacantes han focalizado sus esfuerzos en la comunidad de desarrolladores de macOS, conscientes de su acceso privilegiado y su rol crítico en el desarrollo, mantenimiento y despliegue de aplicaciones. Utilizando dominios typosquatting y falsas páginas de descarga, simulan la apariencia de portales oficiales de proyectos ampliamente adoptados, como Homebrew (el gestor de paquetes más popular en el ecosistema), LogMeIn (solución de acceso remoto) y TradingView (plataforma de análisis financiero).

La campaña se apalanca en técnicas de SEO poisoning para posicionar estos sitios fraudulentos en los primeros resultados de buscadores, captando así tanto a usuarios inexpertos como a profesionales que buscan instalar o actualizar estas herramientas. El vector inicial es, por tanto, la ingeniería social basada en la suplantación de identidad digital.

Detalles Técnicos

Según los análisis realizados por múltiples laboratorios de ciberseguridad, las muestras detectadas incluyen variantes de AMOS (Atomic macOS Stealer) y Odyssey, ambos malware catalogados como infostealers. El despliegue se realiza mediante falsos instaladores empaquetados en archivos .dmg o .pkg, que contienen payloads maliciosos firmados con certificados de desarrollador legítimos previamente comprometidos o robados – una táctica que permite eludir Gatekeeper y los controles de seguridad de macOS.

CVE y vectores de ataque
Actualmente, no se ha identificado una vulnerabilidad específica (CVE) explotada en la ejecución del malware; el vector principal sigue siendo la acción del usuario al descargar y ejecutar el archivo fraudulento. No obstante, se han observado técnicas de evasión de sandbox y desactivación de XProtect y Gatekeeper mediante comandos `spctl` y modificación de atributos extendidos.

TTP (MITRE ATT&CK)
– Initial Access: T1192 (Spearphishing Link)
– Execution: T1204.002 (Malicious File)
– Defense Evasion: T1553.002 (Code Signing)
– Credential Access: T1555 (Credentials from Password Stores)
– Collection: T1119 (Automated Collection)
– Exfiltration: T1041 (Exfiltration Over C2 Channel)

Indicadores de Compromiso (IoC)
– Hashes de instaladores falsos (SHA256 disponibles en repositorios públicos)
– Dominios typosquatting (ejemplo: homebreww[.]org, tradinngview[.]com)
– C2 asociados: direcciones IP y dominios de comandos y control activos

Impacto y Riesgos

El impacto potencial de esta campaña es elevado. Tanto AMOS como Odyssey son capaces de robar credenciales de llaveros de macOS, datos de navegadores (Chrome, Safari, Firefox), carteras de criptomonedas, información bancaria y archivos locales. Se estima que un 15% de los desarrolladores que buscan Homebrew a través de buscadores han sido expuestos a sitios fraudulentos en las últimas semanas.

El riesgo para las organizaciones es crítico, ya que un desarrollador comprometido puede suponer una puerta de entrada para ataques supply chain, escalada de privilegios y movimientos laterales. Además, la filtración de credenciales puede derivar en accesos no autorizados a repositorios de código, sistemas de integración continua (CI/CD) e infraestructura cloud.

Medidas de Mitigación y Recomendaciones

– Verificar siempre la legitimidad de los sitios de descarga, preferentemente utilizando enlaces de repositorios oficiales y comprobando los hashes de los instaladores.
– Implementar soluciones EDR con capacidades específicas para macOS y mantener actualizado XProtect, Gatekeeper y los mecanismos de seguridad nativos.
– Restringir la ejecución de binarios no firmados y monitorizar la aparición de certificados de desarrollador no autorizados.
– Formación específica a desarrolladores para detectar técnicas de typosquatting y phishing avanzado.
– Uso de controles de acceso privilegiado (PAM) y segmentación de redes de desarrollo.
– Monitorización activa de IoCs mediante SIEM y feeds de inteligencia de amenazas.
– Cumplimiento de directivas de la NIS2 y el GDPR ante posibles fugas de datos personales o profesionales.

Opinión de Expertos

Analistas de firmas como SentinelOne y Kaspersky coinciden en que el vector humano sigue siendo la principal superficie de ataque en este tipo de campañas. «El abuso de la confianza en herramientas de desarrollo populares y la suplantación de identidad digital multiplica el riesgo de ataques de cadena de suministro», señala Ivan Kwiatkowski, investigador de amenazas. Además, se alerta sobre la sofisticación creciente de los infostealers para macOS, un sistema tradicionalmente percibido como más seguro.

Implicaciones para Empresas y Usuarios

Para las empresas tecnológicas y startups, el compromiso de un solo desarrollador puede derivar en la exfiltración masiva de propiedad intelectual y datos, así como en la inserción de puertas traseras en proyectos de software open source. Los usuarios finales también se ven afectados si las aplicaciones distribuidas han sido manipuladas en la cadena de suministro. La legislación europea (GDPR, NIS2) obliga a comunicar este tipo de incidentes y a reforzar los controles de seguridad en los procesos de desarrollo.

Conclusiones

La campaña de falsos instaladores para macOS subraya la importancia de la vigilancia continua, la educación del personal técnico y la actualización de las defensas frente a amenazas cada vez más dirigidas y sofisticadas. La confianza en los canales oficiales y la verificación de integridad de los binarios son, hoy más que nunca, medidas imprescindibles para blindar los entornos de desarrollo y minimizar el riesgo de brechas de seguridad.

(Fuente: www.bleepingcomputer.com)