← Volver a artículos
Seguridad· 3 min de lectura

ClickFix en macOS: un falso CAPTCHA monta un DMG en silencio para colar Atomic Stealer

Hay una nueva variante de los ataques ClickFix dirigida a macOS, y el truco está en que casi todo el trabajo sucio lo hacen herramientas que ya vienen con el sistema. Los investigadores de Unit 42 (Palo Alto Networks) fueron quienes documentaron la campaña, cuyo objetivo final es instalar Atomic macOS Stealer, también conocido como AMOS.

Cómo funciona el engaño

El punto de partida es una página falsa que imita una verificación CAPTCHA. En lugar de marcar la típica casilla, la web te pide que abras la app Terminal y pegues un comando para “completar la verificación”. Ese comando es la trampa.

Lo que ejecutas descarga un fichero DMG con curl usando los flags -fsSL (modo silencioso, sin barra de progreso ni mensajes), lo guarda en /tmp con un nombre aleatorio y a continuación lanza:

hdiutil attach -nobrowse

El parámetro -nobrowse monta la imagen de disco sin que aparezca en el Finder, así que no ves ningún volumen nuevo en el escritorio ni en la barra lateral. El script recorre hasta tres niveles de directorios buscando un .app o un .pkg dentro de la imagen y, cuando lo encuentra, lo arranca con el comando open de macOS. Todo automático, sin más clics por tu parte.

En el caso analizado, el DMG se llamaba s.01M0td.dmg y contenía NNApp.app, un bundle autofirmado. La infraestructura de mando y control incluía el dominio svs-verificationdate[.]beer y la IP 196.251.107[.]171.

Qué roba AMOS

El payload es Atomic macOS Stealer, un infostealer comercial bastante voraz. Según el análisis, se lleva:

  • Credenciales de ocho navegadores basados en Chromium: Chrome, Edge, Brave, Opera, Arc, Vivaldi, CocCoc y Yandex.
  • Datos de navegadores derivados de Firefox: LibreWolf, SeaMonkey, Tor Browser, Waterfox y Zen Browser.
  • Monederos de criptomonedas: Exodus, Electrum, Atomic Wallet, Wasabi, Bitcoin Core, Litecoin Core, DashCore, Guarda, Binance, Dogecoin y TonKeeper.
  • Datos de Telegram Desktop y Discord.
  • Las bases de datos del Llavero (Keychain) de Apple y las cookies de Safari.
  • Documentos del usuario en formato PDF, TXT y RTF.

Hay un detalle especialmente desagradable para quien maneje cripto: AMOS sustituye las instalaciones legítimas de Ledger Live y Trezor Suite por versiones manipuladas, pensadas para robar fondos de los monederos hardware.

A quién afecta y qué hacer

No hay aquí un CVE ni una vulnerabilidad concreta del sistema que parchear. El ataque no explota un fallo de macOS: explota a la persona delante del teclado. curl, hdiutil y open son utilidades normales y necesarias; el problema es ejecutarlas con argumentos que no entiendes porque te lo ha dicho una web.

La mitigación es de sentido común y se sostiene sola: desconfía siempre que un sitio te pida abrir Terminal y pegar un comando. Un CAPTCHA real nunca necesita eso. Si no entiendes al 100% qué hace una orden, no la ejecutes. Y si manejas Ledger Live o Trezor Suite, descárgalos solo desde las webs oficiales y revisa que la instalación no haya sido reemplazada.

Si quieres repasar el sistema afectado, tienes la ficha de macOS con su información de versiones y soporte.

Fuente

New macOS ClickFix attack silently mounts DMGs to push infostealer — BleepingComputer

Sistemas relacionados

macOS