Nueva campaña de Atomic macOS Stealer utiliza ClickFix y typosquatting para atacar a usuarios de Apple
Introducción
En las últimas semanas, analistas de ciberseguridad han detectado una sofisticada campaña de malware orientada a sistemas Apple macOS. Esta operación maliciosa utiliza la técnica de ingeniería social conocida como ClickFix, combinada con ataques de typosquatting sobre dominios que suplantan a la operadora estadounidense Spectrum. El objetivo es comprometer a los usuarios y desplegar el infostealer Atomic macOS Stealer (AMOS), una amenaza que ha ido ganando popularidad en foros de cibercrimen y dark web durante el último año. A continuación, se analizan en profundidad los detalles técnicos y operativos del ataque, así como las recomendaciones para mitigar sus riesgos.
Contexto del Incidente
Según un reciente informe de CloudSEK, la campaña aprovecha la confianza de los usuarios en marcas reconocidas y la creciente presencia de dispositivos macOS en entornos corporativos y domésticos. Los atacantes han registrado dominios que imitan al proveedor Spectrum mediante errores tipográficos deliberados (typosquatting). Estos dominios fraudulentos redirigen a las víctimas a páginas web clonadas o a portales de soporte técnico falsos, donde se despliega la táctica de ClickFix: convencer al usuario de que debe descargar una supuesta actualización o herramienta de corrección para solucionar un problema inexistente.
El auge de macOS en el mercado empresarial, con cuotas que en algunos sectores superan el 23%, ha convertido a este sistema en un objetivo cada vez más atractivo para los desarrolladores de malware. A diferencia de campañas anteriores, centradas en Windows, los atacantes han refinado sus métodos para el ecosistema de Apple, donde la percepción de seguridad sigue siendo alta pero las amenazas han evolucionado de forma notable.
Detalles Técnicos: CVE, Vectores de Ataque y TTP
El ataque utiliza principalmente el vector de ingeniería social, alineado con la táctica T1566 (Phishing) del marco MITRE ATT&CK. Aunque no se ha identificado una vulnerabilidad específica (CVE) explotada en el sistema operativo, el principal mecanismo de compromiso reside en la manipulación del usuario para la descarga y ejecución manual del malware.
Atomic macOS Stealer (AMOS) es un infostealer comercializado en foros clandestinos, conocido por su capacidad para extraer credenciales, cookies, información bancaria, datos de carteras de criptomonedas (como Exodus, Electrum y Binance), y archivos clave del sistema. El payload suele estar empaquetado en un archivo DMG o PKG y puede eludir Gatekeeper manipulando atributos extendidos o requiriendo que el usuario desactive temporalmente la protección.
En campañas previas, se ha detectado el uso de frameworks como Metasploit y Cobalt Strike para el post-explotación, aunque en este caso AMOS opera principalmente como malware autónomo (standalone). Los IoC (Indicators of Compromise) incluyen hashes SHA256 de los binarios, nombres de archivo sospechosos y dominios typosquat utilizados para la distribución (por ejemplo, spectrum[.]com-support[.]xyz).
Impacto y Riesgos
El impacto de una infección con AMOS es significativo tanto para usuarios particulares como para organizaciones. Se estima que, en campañas similares, hasta un 8% de los visitantes de dominios typosquat llegan a descargar el archivo malicioso. Dada la naturaleza del infostealer, la información sustraída puede facilitar fraudes financieros, suplantación de identidad, acceso no autorizado a sistemas corporativos (especialmente si se comprometen gestores de contraseñas) y filtración de datos personales, con riesgos asociados a la normativa GDPR y NIS2.
Además, al tratarse de sistemas macOS, la detección por soluciones antimalware tradicionales suele presentar tasas de falsos negativos superiores al 20%, lo que incrementa la ventana de exposición y dificulta la respuesta temprana.
Medidas de Mitigación y Recomendaciones
Para mitigar esta amenaza, se recomienda:
– Implementar políticas de Zero Trust y restringir la instalación de software desde fuentes no verificadas.
– Monitorizar proactivamente dominios typosquat relacionados con la organización mediante herramientas de threat intelligence.
– Desplegar soluciones EDR especializadas en macOS, actualizadas con IoC relevantes de AMOS.
– Formar y concienciar a los usuarios sobre tácticas de ingeniería social y la detección de páginas fraudulentas.
– Revisar y reforzar la configuración de Gatekeeper, evitando excepciones innecesarias.
– Auditar regularmente los logs de acceso y las transferencias de archivos sospechosos en endpoints macOS.
Opinión de Expertos
Expertos de la comunidad, como Patrick Wardle y analistas de Objective-See, coinciden en que “la amenaza de infostealers para macOS está en pleno auge, y los actores de amenazas aprovechan la baja percepción de riesgo y la proliferación de ingeniería social”. Además, destacan que el ecosistema de seguridad para macOS aún presenta carencias frente a la rápida evolución de estas campañas.
Implicaciones para Empresas y Usuarios
Para las empresas, la principal preocupación radica en la posibilidad de escalada lateral desde un endpoint comprometido, así como en la exposición de datos personales o corporativos protegidos por el GDPR. El incumplimiento de las obligaciones de notificación y respuesta puede derivar en sanciones económicas significativas (hasta el 4% de la facturación anual en el caso de GDPR).
Para los usuarios, la descarga accidental de AMOS puede llevar a la pérdida de fondos en wallets de criptomonedas, robo de identidad y acceso no autorizado a información sensible.
Conclusiones
La campaña de AMOS mediante ClickFix y typosquatting sobre dominios de Spectrum representa una evolución sofisticada de las amenazas contra macOS. La combinación de ingeniería social avanzada y malware adaptado a las peculiaridades del sistema de Apple exige una respuesta proactiva desde el ámbito corporativo y personal. La formación, la monitorización de amenazas emergentes y la adopción de tecnologías de protección específicas para macOS son indispensables para mitigar el impacto de este tipo de ataques.
(Fuente: feeds.feedburner.com)