Microsoft: Desplegó ClickFix, una página falsa de solución de problemas de macOS, para robar claves de carteras de criptomonedas

De acuerdo con Cryptopolitan, el 11 de mayo, el equipo de investigación de seguridad de Microsoft Defender publicó los resultados de su investigación, en los que descubrió que los atacantes publicaron guías falsas de solución de problemas de macOS en plataformas como Medium y Craft desde finales de 2025. El objetivo era inducir a los usuarios a ejecutar comandos maliciosos en la terminal para, así, instalar malware que roba claves de carteras de criptomonedas, datos de iCloud y contraseñas guardadas en el navegador.

Mecanismo del ataque: ClickFix para eludir el Gatekeeper de macOS

Según el informe del equipo de investigación de seguridad de Microsoft Defender, los atacantes emplean una técnica de ingeniería social llamada ClickFix: publican guías de solución de problemas de macOS disfrazadas de “liberar espacio en disco” o “reparar errores del sistema” en plataformas como Medium, Craft y Squarespace, con el fin de guiar a los usuarios a copiar comandos maliciosos y pegarlos en macOS Terminal. Tras ejecutar el comando, el software malicioso se descarga y se inicia automáticamente.

Según el informe de Microsoft, esta técnica elude el mecanismo de seguridad de Gatekeeper de macOS, debido a que Gatekeeper se encarga de la verificación de firmas de código y de la autenticación notarial para aplicaciones que se ejecutan mediante Finder, pero la forma en que el usuario ejecuta comandos directamente en Terminal no está sujeta a ese paso de verificación. Los investigadores también descubrieron que los atacantes utilizan curl, osascript y otras herramientas nativas de macOS para ejecutar código malicioso directamente en memoria (ataque sin archivos), lo que dificulta que las herramientas antivirus estándar puedan detectarlo.

Familias de malware, alcance del robo y mecanismos especiales

Según el informe de Microsoft, la actividad de este ataque involucra tres familias de malware (AMOS, Macsync, SHub Stealer) y tres tipos de instaladores (Loader, Script, Helper). Los datos objetivo que se roban incluyen:

Claves de carteras de criptomonedas: Exodus, Ledger, Trezor

Credenciales de cuenta: iCloud, Telegram

Contraseñas guardadas en el navegador: Chrome, Firefox

Archivos privados y fotos: archivos locales de menos de 2 MB

Después de instalarse, el malware muestra cuadros de diálogo falsos que piden al usuario introducir la contraseña del sistema para instalar “herramientas auxiliares”. Si el usuario introduce la contraseña, el atacante puede obtener acceso completo a archivos y a la configuración del sistema. El informe de Microsoft también señala que, en algunos casos, los atacantes eliminan las aplicaciones legítimas Trezor Suite, Ledger Wallet y Exodus y las sustituyen por versiones con troyanos integrados para monitorizar transacciones y robar fondos. Además, los cargadores que incluye el malware incorporan un conmutador de apagado: si detecta un diseño de teclado en ruso, el malware se detiene automáticamente.

Actividades de ataque relacionadas y medidas de protección de Apple

Según la investigación de los analistas de seguridad de ANY.RUN, Lazarus Group ha iniciado una campaña de piratería llamada “Mach-O Man”, que emplea técnicas similares a ClickFix, mediante la falsificación de invitaciones a reuniones para atacar, con macOS como sistema operativo principal, a empresas de tecnología financiera y criptomonedas.

Cryptopolitan también informa que el grupo de hackers norcoreano Famous Chollima utiliza generación de código con IA para insertar paquetes maliciosos de npm en proyectos de operaciones de criptomonedas. El malware emplea una arquitectura de ofuscación en dos capas para robar datos de las carteras y la información secreta del sistema.

Según el reporte, Apple añadió en la versión macOS 26.4 un mecanismo de protección capaz de impedir que comandos marcados como potencialmente maliciosos se peguen en la terminal de macOS.

Preguntas frecuentes

¿Desde cuándo comenzaron las actividades de ataque ClickFix en macOS divulgadas por Microsoft Defender y en qué plataformas se publicaron?

Según el informe del equipo de investigación de seguridad de Microsoft Defender y Cryptopolitan, del 11 de mayo de 2026, la actividad del ataque comenzó a estar activa a finales de 2025. Los atacantes publicaron guías falsas de solución de problemas de macOS en plataformas como Medium, Craft y Squarespace, para inducir a los usuarios de Mac a ejecutar comandos maliciosos de Terminal.

¿Qué carteras de criptomonedas y tipos de datos son objetivo de esta actividad de ataque?

Según el informe de Microsoft Defender, el malware involucrado (AMOS, Macsync, SHub Stealer) puede robar claves de carteras de Exodus, Ledger y Trezor, así como datos de cuentas de iCloud y Telegram, además de los nombres de usuario y contraseñas guardados en Chrome y Firefox.

¿Qué medidas de protección introdujo Apple contra este tipo de ataque?

Según el reporte, Apple añadió en la versión macOS 26.4 un mecanismo de protección que bloquea el pegado en Terminal de macOS de comandos marcados como potencialmente maliciosos, para reducir la tasa de éxito de los ataques de ingeniería social tipo ClickFix.