Hasta Safari sucumbió: cómo un nuevo virus desvalijó al navegador que creíamos seguro
La plataforma MioLab dejó en papel mojado la seguridad alabada de macOS.
El aumento de la popularidad de los ordenadores Apple está cambiando gradualmente el equilibrio de fuerzas en el entorno de la ciberdelincuencia. Si antes macOS se consideraba una plataforma de nicho, hoy los atacantes la ven como una fuente de ingresos estable. Las nuevas herramientas de ataque muestran que la época de los «Mac seguros» ha quedado definitivamente atrás.
Una de esas herramientas es la plataforma MioLab, también conocida como Nova. Los desarrolladores la promocionan activamente en foros clandestinos y ya han construido un modelo completo de Malware-as-a-Service. El servicio no está pensado para atacantes solitarios, sino para equipos que gestionan tráfico e infecciones masivas. El panel de control, API y la automatización hacen que el uso del software malicioso sea lo más sencillo posible.
El objetivo principal de MioLab es el robo de datos y de criptomonedas. El malware recopila contraseñas, cookies, el historial de los navegadores y los datos de autocompletado de navegadores populares. Un módulo aparte se centra en las billeteras de criptomonedas: busca tanto extensiones como MetaMask como carteras locales, incluidas Exodus y Electrum. Se prestó especial atención a los dispositivos hardware Ledger y Trezor: el programa intenta interceptar las frases semilla de recuperación.
La infección se basa en la ingeniería social. Al usuario se le muestra una ventana de instalación convincente o un aviso del sistema solicitando la contraseña. Tras la ejecución, el programa finaliza los procesos de Terminal, comprueba las credenciales introducidas y empieza a recopilar información. El código malicioso copia archivos de «Documentos», «Descargas» y del escritorio, después los empaqueta en un archivo y los envía al servidor de control.
Las últimas actualizaciones han ampliado notablemente las capacidades de la plataforma. Los desarrolladores han aprendido a extraer datos de Safari, que antes quedaba fuera del alcance de los ataques. También apareció un mecanismo para descifrar las notas de Apple Notes directamente en el sistema infectado, lo que acelera la búsqueda de contraseñas y frases semilla. Los módulos para trabajar con carteras hardware se han vuelto universales y se adaptan a las actualizaciones de los fabricantes.
La infraestructura de MioLab está estrechamente vinculada con otras estafas. El análisis de dominios mostró que los mismos servidores se utilizan para campañas de phishing con sorteos falsos de criptomonedas. Tras cambiar la infraestructura, los atacantes no desactivan las direcciones antiguas, sino que redirigen el tráfico a nuevos esquemas, continuando así obteniendo beneficios.
Llama la atención también una campaña publicitaria activa a través de anuncios maliciosos. El especialista Marcelo Rivero detectó un ataque con un sitio falso de la documentación de la herramienta Claude Code. Para los usuarios de macOS, allí publican comandos para Terminal que descargan y ejecutan un programa que roba información, a la vez que eliminan las restricciones de seguridad del sistema.
MioLab se está desarrollando rápidamente y ya se ha convertido en un servicio maduro con actualizaciones regulares y soporte al cliente. Ese enfoque muestra que el mercado de software malicioso para macOS ha alcanzado un nuevo nivel, donde la competencia y la comercialización juegan un papel clave.