Apple dice «esperen», los hackers responden «no hace falta»: un único comando inyectado eludió la protección de macOS
Durante años, los usuarios de Mac se rieron de los virus de Windows; ClickFix pide que reconsideren su postura.
A los usuarios de macOS se les vuelve a ofrecer una «solución sencilla» para acelerar el equipo o limpiar el disco, pero por ese consejo se puede pagar con contraseñas, archivos y acceso a criptobilleteras. Microsoft informó sobre una nueva ola de la campaña ClickFix, en la que los atacantes disfrazan comandos maliciosos como instrucciones útiles para propietarios de Mac.
Los atacantes publicaban esas instrucciones en sitios independientes, en blogs de Medium y en la plataforma Craft. Las páginas parecían consejos habituales para solucionar problemas de macOS: se ofrecía al usuario copiar un comando, pegarlo en «Terminal» y ejecutarlo. En realidad, el comando descargaba y ejecutaba código malicioso que instalaba los ladrones de datos Macsync, Shub Stealer, AMOS y otros programas maliciosos.
Antes, ataques similares usaban más a menudo imágenes de disco con extensión .dmg, donde la víctima tenía que abrir e instalar manualmente la aplicación. Ahora el esquema se ha vuelto más peligroso. El comando se ejecuta directamente a través de «Terminal», descarga un script remoto y lo entrega para su ejecución. Esa vía ayuda a evitar parte de las comprobaciones que macOS aplica a las aplicaciones normales abiertas desde Finder.
Tras la infección, los programas maliciosos recopilan contraseñas de los navegadores, datos del llavero de macOS, información de iCloud, archivos del usuario, conversaciones de Telegram, datos de criptobilleteras y sus claves. En algunos casos, el código malicioso reemplazó las aplicaciones reales Ledger Wallet, Trezor Suite y Exodus por versiones falsas, para que el usuario siguiera usando una billetera ya comprometida.
Microsoft describe varias variantes del ataque. En un caso, el programa malicioso primero comprobaba el idioma del teclado y dejaba de funcionar al detectar la distribución rusa u otra correspondiente a países de la CEI. En otra variante, el script buscaba un servidor de control operativo, y si las direcciones principales no respondían, intentaba obtener una nueva dirección a través de Telegram. La tercera variante usaba archivos helper o update, comprobaba signos de máquina virtual y dejaba de funcionar en entornos similares a cajas de arena para el análisis de malware.
Para persistir en el sistema, los atacantes creaban tareas de autoinicio de macOS, ocultándolas como componentes de servicio de Google o Finder. Tras reiniciar, el Mac infectado volvía a conectarse al servidor del atacante y podía recibir nuevos comandos. Los datos recopilados se archivaban, se enviaban al servidor remoto y los archivos temporales se eliminaban para dificultar la investigación.
Apple ya actualizó la protección XProtect, y en macOS 26.4 añadió una advertencia específica para pegados peligrosos en «Terminal». Si el usuario intenta pegar un comando sospechoso, el sistema bloquea la acción y advierte que los estafadores suelen pedir ejecutar tales comandos por sitios, chats, aplicaciones, archivos o llamadas telefónicas.
El consejo principal sigue siendo simple: no pegar en «Terminal» comandos procedentes de sitios y foros si la fuente no inspira plena confianza. Para un usuario habitual, un comando así parece una serie de símbolos incomprensibles, y para los atacantes puede ser una forma rápida de llevarse contraseñas, archivos y dinero de las criptobilleteras.