¿Comprar una MacBook por seguridad? Tenemos malas noticias

La nueva versión del software malicioso Atomic Stealer, dirigida a usuarios de macOS, ha recibido una actualización peligrosa: ahora está equipada con una puerta trasera oculta completa, que proporciona a los atacantes acceso persistente y discreto a los sistemas infectados. Este componente permite ejecutar comandos remotos, persiste después del reinicio y proporciona control total sobre los dispositivos de las víctimas.

Los especialistas de la división Moonlock de la empresa MacPaw realizaron un análisis técnico de la nueva versión tras un informe de un analista independiente conocido bajo el seudónimo de g0njxa. Anteriormente, este malware ya había afectado a más de 120 países, y el mayor número de infecciones se ha registrado en EE. UU., Francia, Italia, Reino Unido y Canadá. Con la actualización que incorpora el componente de puerta trasera, el programa ha adquirido capacidades para tomar el control total de miles de dispositivos Apple en todo el mundo.

Atomic Stealer fue descrito por primera vez en la primavera de 2023 y se distribuía bajo el modelo MaaS (malware como servicio) a través de canales de Telegram por $1000 al mes. El objetivo principal del malware son los archivos de macOS, extensiones de criptomonedas y contraseñas guardadas en navegadores. En el otoño de 2023, el malware formó parte del primer ataque en el marco de la campaña ClearFake contra macOS, y un año después —en septiembre de 2024— fue utilizado por el grupo Marko Polo en una infección masiva de dispositivos Apple.

Si antes la distribución se realizaba a través de programas pirateados y sitios web de terceros, ahora la propagación se ha vuelto más precisa. Los hackers comenzaron a enviar correos electrónicos de phishing a propietarios de monederos de criptomonedas y a ofrecer entrevistas falsas a freelancers.

La versión investigada de Atomic contiene una puerta trasera integrada, utiliza LaunchDaemons para permanecer en el sistema tras el reinicio y rastrea a las víctimas mediante identificadores únicos. También se ha registrado una transición a una nueva infraestructura de comando y control.

El archivo principal de la puerta trasera es un binario ejecutable llamado “.helper”. Tras la infección, se guarda en el directorio del usuario de forma oculta. Su ejecución la realiza un script llamado “.agent”, también oculto, que ejecuta continuamente el malware como el usuario actual. Para el inicio automático se utiliza un LaunchDaemon llamado com.finder.helper, instalado mediante AppleScript. Al mismo tiempo, se realizan acciones con privilegios elevados, que los atacantes obtienen al robar la contraseña del usuario en la etapa inicial de la infección.

Una vez instalado, el programa es capaz de ejecutar comandos, instalar otros programas maliciosos, registrar pulsaciones de teclas y moverse por la red interna. Se oculta de los sistemas de análisis verificando la presencia de sandboxes y máquinas virtuales a través de system_profiler. Además, se aplican técnicas de ofuscación de cadenas para ocultar el comportamiento del programa ante los analizadores.

La evolución observada de Atomic demuestra un creciente interés de los atacantes por macOS y un rápido aumento de su nivel de preparación técnica. Enfrentarse a estas campañas se está volviendo cada vez más difícil, especialmente en un contexto donde los programas maliciosos ya no solo roban datos, sino que también aseguran una presencia a largo plazo en los dispositivos.