AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

### Ciberdelincuentes Explotan Artefactos de Claude y Google Ads para Distribuir Infostealers en macOS

admin

#### Introducción

En el panorama actual de ciberamenazas, los sistemas macOS han dejado de ser considerados un objetivo marginal para los actores maliciosos. Recientemente, se ha detectado una campaña sofisticada denominada “ClickFix”, en la que los atacantes abusan de artefactos de Claude—la IA de Anthropic—combinados con técnicas de malvertising a través de Google Ads, con el objetivo de distribuir malware tipo infostealer a usuarios de macOS. Esta campaña pone de manifiesto la evolución de los TTPs (Tactics, Techniques, and Procedures) empleados por los grupos de amenazas, así como la necesidad de reforzar controles de seguridad tanto en endpoints como en las plataformas de publicidad digital.

#### Contexto del Incidente

La campaña ClickFix fue identificada por primera vez a mediados de junio de 2024 por analistas de amenazas que monitorizan tráfico anómalo relacionado con descargas de aplicaciones populares en macOS. Los atacantes han aprovechado el interés creciente en herramientas de inteligencia artificial, en concreto los artefactos asociados a Claude, para diseñar anuncios maliciosos en Google Ads que redirigen a los usuarios a sitios fraudulentos. Estos portales simulan ser páginas legítimas de descargas, pero en realidad alojan archivos trojanizados que contienen malware infostealer.

La técnica empleada es conocida como “malvertising”, y en este caso se ha dirigido específicamente a consultas de usuarios que buscan descargas de software para macOS, incrementando el alcance y la efectividad del ataque.

#### Detalles Técnicos

La principal vulnerabilidad explotada en esta campaña reside en el abuso de la confianza en los resultados patrocinados de Google Ads, sumado a la manipulación de nombres de archivo y artefactos reconocibles de Claude (como modelos y plugins). Los investigadores han detectado que los anuncios maliciosos redirigen a dominios recientemente registrados con nombres casi idénticos a los originales, técnica conocida como typosquatting.

**Vectores de Ataque:**
– **Malvertising**: Uso de Google Ads para promocionar enlaces maliciosos en los primeros resultados de búsqueda.
– **Phishing de descarga**: Imitación de portales legítimos de software, principalmente herramientas de IA y utilidades para macOS.
– **Ingeniería social**: Incitación a la descarga de supuestas actualizaciones o versiones de prueba.

**TTPs MITRE ATT&CK relevantes:**
– **T1566.002 (Phishing: Spearphishing via Service)**
– **T1189 (Drive-by Compromise)**
– **T1204.002 (User Execution: Malicious File)**

**Indicadores de Compromiso (IoC):**
– Dominios con nombres similares a los originales, pero con pequeñas variaciones.
– Hashes de archivos instaladores detectados como variantes de infostealer (ejemplo: *OSX/Stealer.C*).
– Conexiones de red a C2 alojados en infraestructuras comprometidas y servidores bulletproof.

**Herramientas y exploits conocidos:**
– Uso de frameworks como Metasploit y Cobalt Strike para pivotar en el sistema tras la infección inicial.
– Instaladores ofuscados con scripts bash y binarios Mach-O modificados.

Las versiones de macOS afectadas incluyen Monterey (12.x), Ventura (13.x) y las primeras revisiones de Sonoma (14.x), especialmente en sistemas que no tienen Gatekeeper configurado correctamente o han deshabilitado las restricciones de ejecución de aplicaciones no firmadas.

#### Impacto y Riesgos

El impacto potencial de esta campaña es elevado, considerando el auge de usuarios de macOS en entornos corporativos y la falsa sensación de seguridad respecto a este sistema operativo. Se estima que un 8% de las infecciones detectadas por infostealers en el primer semestre de 2024 corresponden ya a macOS, lo que representa un incremento del 150% respecto al año anterior.

Entre los riesgos más críticos destacan:
– **Robo de credenciales**: Incluyendo acceso a gestores de contraseñas, cuentas de correo y aplicaciones corporativas.
– **Exfiltración de datos personales y empresariales**: Exportación de documentos, llaveros de Apple y tokens de autenticación.
– **Persistencia y escalada de privilegios**: Uso de vulnerabilidades locales para obtener control total sobre el dispositivo.
– **Compromiso de cuentas corporativas**: Riesgo de brechas de datos que pueden violar normativas como GDPR y NIS2.

#### Medidas de Mitigación y Recomendaciones

Para mitigar el impacto de este tipo de campañas, se recomienda:

– **Bloqueo proactivo de dominios sospechosos** y monitorización de nuevos registros relacionados con artefactos de IA y software popular.
– **Configuración estricta de Gatekeeper** y deshabilitación de la instalación de aplicaciones desde fuentes no verificadas.
– **Sensibilización y formación de usuarios** sobre los riesgos del malvertising y la descarga de aplicaciones desde enlaces patrocinados.
– **Implementación de EDRs especializados en macOS** y monitorización de actividad anómala en endpoints.
– **Actualización constante de firmas antimalware** y despliegue de listas negras en navegadores corporativos.
– **Auditoría de logs y análisis forense** ante cualquier indicio de descarga o ejecución de binarios no autorizados.

#### Opinión de Expertos

Especialistas en ciberseguridad, como los analistas de NCC Group y Malwarebytes, han resaltado la sofisticación creciente de los ataques dirigidos a macOS, señalando la importancia de no subestimar la superficie de ataque en este entorno. Recomiendan adoptar un enfoque de defensa en profundidad y no confiar ciegamente en las protecciones nativas del sistema operativo, dado que los actores de amenazas están adaptando rápidamente sus TTPs.

#### Implicaciones para Empresas y Usuarios

Las organizaciones deben reforzar sus políticas de seguridad, especialmente aquellas que permiten el uso de dispositivos BYOD o gestionan flotas de MacBooks. El cumplimiento de normativas como GDPR y NIS2 exige la protección efectiva de los datos personales y corporativos, así como la notificación temprana de incidentes. La tendencia del mercado muestra que los infostealers multiplataforma están en auge, y los ciberdelincuentes están aprovechando la popularidad de nuevas tecnologías como la IA para camuflar sus campañas.

#### Conclusiones

La campaña ClickFix evidencia el perfeccionamiento de los ataques contra macOS, combinando ingeniería social avanzada y explotación de la confianza en plataformas publicitarias. Es imperativo que los equipos de ciberseguridad actualicen sus estrategias de defensa, priorizando la monitorización activa y la concienciación de usuarios para minimizar el riesgo de infección y exfiltración de datos.

(Fuente: www.bleepingcomputer.com)