Malware Atomic macOS Stealer: ¿De qué trata esta campaña?

Una amenaza en evolución con un disfraz familiar

Otra preocupación de ciberseguridad está circulando en el mundo de macOS. Atomic macOS Stealer (comúnmente abreviado como AMOS) ha sido detectado en una nueva campaña de malware dirigida a usuarios de Apple mediante ingeniería social astuta. En lugar de usar fuerza bruta o exploits sofisticados, los atacantes detrás de AMOS se basan en manipular el comportamiento del usuario, en concreto, en explotar la confianza en las experiencias cotidianas en línea.

Esta campaña utiliza un método engañoso conocido como " ClickFix ", una táctica que presenta lo que parece una verificación CAPTCHA rutinaria en un sitio web. Los usuarios que la cumplen, sin saberlo, ejecutan una secuencia maliciosa que termina con la instalación del malware AMOS en su dispositivo.

La mecánica detrás del malware

El núcleo de este esquema es una página CAPTCHA falsa que suplanta plataformas web confiables. En el caso de esta campaña en particular, los atacantes imitaron la marca del proveedor de telecomunicaciones estadounidense Spectrum. A los usuarios que visitaban los sitios fraudulentos (como panel-spectrum.net o spectrum-ticket.net ) se les solicitaba que verificaran su identidad mediante lo que parecía ser una verificación CAPTCHA típica.

Cuando el CAPTCHA falla, intencionalmente, se muestra un mensaje que sugiere un método de "Verificación Alternativa". Este paso es donde reside el verdadero peligro. A los usuarios de Mac se les muestran instrucciones para copiar y ejecutar un comando de terminal, que parece inofensivo, pero inicia un script de shell que solicita la contraseña del sistema y luego descarga el malware AMOS.

Qué hace AMOS una vez instalado

Una vez implementado, el malware Atomic macOS Stealer comienza a recopilar información confidencial del usuario. Utiliza comandos integrados de macOS para extraer credenciales, acceder a contraseñas almacenadas y, potencialmente, eludir ciertos mecanismos de seguridad integrados. El script no solo es invasivo, sino también engañosamente simple, lo que demuestra la eficacia de un código mínimo en manos de un atacante experto.

Los investigadores han observado que este malware incluye comentarios escritos en ruso, lo que sugiere la participación de ciberdelincuentes rusoparlantes. Este origen internacional coincide con las tendencias más amplias de la ciberdelincuencia, donde los actores transfronterizos atacan plataformas ampliamente utilizadas y con alta confianza de los usuarios.

Mal diseño, alto riesgo

Curiosamente, la infraestructura que sustenta esta campaña está lejos de ser impecable. Los analistas han señalado numerosas inconsistencias en la lógica y la presentación de las páginas de distribución del malware. Por ejemplo, instrucciones que no coinciden entre plataformas (como indicar a los usuarios de Linux que ejecuten comandos de PowerShell destinados a Windows) e instrucciones vagas o contradictorias mostradas tanto a los usuarios de Mac como de Windows.

Estas fallas sugieren una configuración apresurada, pero no disminuyen el daño potencial. Incluso una operación torpe puede causar daños considerables si convence a los usuarios de bajar la guardia.

ClickFix: una táctica de distribución en crecimiento

ClickFix no es exclusivo de esta campaña de AMOS. Es un método de distribución de malware más amplio que está ganando terreno gracias a su adaptabilidad y simplicidad. Al falsificar sistemas CAPTCHA o banners de consentimiento de cookies, los atacantes consiguen que los usuarios ejecuten scripts maliciosos. Es un truco psicológico: se hace creer a los usuarios que están realizando acciones normales cuando, en realidad, están comprometiendo sus dispositivos.

Empresas de seguridad como Darktrace y Cofense han reportado un fuerte aumento de este tipo de ataques en Europa, Oriente Medio, África y Norteamérica. Otras campañas que utilizan ClickFix han distribuido una amplia gama de software malicioso, desde ladrones como PureLogs y Lumma hasta troyanos de acceso remoto como NetSupport RAT .

¿Por qué los usuarios caen en la trampa?

Parte del éxito de esta táctica reside en lo que los expertos en ciberseguridad denominan "fatiga de verificación". Los usuarios modernos están tan acostumbrados a las ventanas emergentes, los CAPTCHA y las solicitudes rutinarias que a menudo hacen clic sin analizarlas. Los atacantes explotan este comportamiento condicionado insertando trampas en lo que parecen ser procesos estándar.

Las copias perfectas de páginas CAPTCHA de servicios como Google reCAPTCHA o Cloudflare Turnstile solo aumentan su credibilidad. En algunos casos, los atacantes incluso han inyectado estas verificaciones falsas en sitios web legítimos pero comprometidos, lo que añade una capa adicional de engaño.

Qué significa para la seguridad de macOS

Durante años, los usuarios de macOS se han sentido relativamente a salvo del malware en comparación con sus homólogos de Windows. Campañas como la que implementó AMOS sirven como recordatorio de que ningún sistema es inmune, especialmente cuando el eslabón más débil es el comportamiento humano. El uso de la ingeniería social significa que los atacantes no necesitan encontrar vulnerabilidades en el sistema operativo; solo necesitan que los usuarios sigan las instrucciones.

Las implicaciones son amplias. Destacan la necesidad de concienciar a los usuarios, de contar con defensas específicas para cada plataforma y del desafío constante de distinguir entre acciones legítimas del sistema y tácticas engañosas.

Reflexiones finales

Si bien macOS ofrece sólidas protecciones integradas, estas solo son efectivas si los usuarios son precavidos con lo que ejecutan en sus sistemas. Se recomienda a los usuarios evitar ejecutar comandos desconocidos en la Terminal, verificar la autenticidad de las URL y desconfiar de cualquier sitio web que les solicite verificar su identidad de forma inusual.

A medida que campañas de malware como AMOS siguen evolucionando, mantenerse informado es una de las mejores defensas. Estar informado no es solo poder, es protección.

En Willa
June 9, 2025
Mac Malware
Spanish
June 9, 2025
Mac Malware

Entradas populares

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 2 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 9 months

Comprenda y mitigue la amenaza de W32.AIDetectMalware

Hace 11 months

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 12 months

Programa: Win32/Wacapew.C!ml: Una mirada más cercana a la...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 2 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.