La psicología del engaño: cómo FrigidStealer manipula a los usuarios de macOS

Los ciberdelincuentes están atacando a los usuarios de macOS, distribuyendo un nuevo software malicioso llamado FrigidStealer bajo la apariencia de actualizaciones de navegadores. Investigadores de Proofpoint identificaron que la campaña es llevada a cabo por el grupo TA2727, vinculado a la propagación del malware Lumma Stealer para Windows y Marcher para Android.

Los especialistas señalan que TA2727 utiliza actualizaciones falsas para distribuir diversos tipos de software malicioso. Este grupo forma parte de una red más amplia que incluye a TA2726, operador de un sistema de distribución de tráfico (TDS) que trabaja en beneficio de otros ciberdelincuentes. A su vez, TA2726 colabora con TA569, responsable de la distribución del cargador de JavaScript malicioso SocGholish (también conocido como FakeUpdates), que se disfraza de actualizaciones de navegadores.

Los métodos de TA2727 son muy similares a los de TA569: utilizan sitios web comprometidos e inyectan código JavaScript malicioso que imita una página de actualización de Chrome o Edge. Sin embargo, TA2727 se distingue por adaptar la carga maliciosa al sistema operativo y la ubicación geográfica de la víctima. Por ejemplo, los usuarios de Windows en Francia y el Reino Unido recibieron un archivo MSI que contenía Hijack Loader, el cual posteriormente descargaba Lumma Stealer. Si un usuario de Android accedía al sitio infectado, se le entregaba el troyano bancario Marcher.

Desde enero de 2025, los atacantes han actualizado su táctica y han comenzado a atacar a los usuarios de macOS fuera de América del Norte. Si un usuario visita un sitio infectado, se le ofrece descargar una actualización falsa del navegador que contiene el nuevo software malicioso FrigidStealer. Para lograr una infección exitosa, los ciberdelincuentes emplean ingeniería social: el archivo de instalación está firmado manualmente y diseñado para crear una apariencia de legitimidad.

Tras su ejecución, FrigidStealer solicita a la víctima que ingrese la contraseña de administrador mediante AppleScript, lo que permite al malware obtener privilegios elevados y robar datos confidenciales sin restricciones. FrigidStealer recopila archivos, extrae información de navegadores, notas de Apple Notes y aplicaciones relacionadas con criptomonedas.

Los expertos advierten que los ataques a través de páginas web comprometidas siguen siendo una amenaza vigente, y los ciberdelincuentes continúan adaptando sus tácticas a nuevos objetivos. Se recomienda a los usuarios de macOS descargar actualizaciones de software únicamente desde sitios oficiales y evitar la instalación de programas de fuentes no verificadas.