Más de 100 apps populares para Mac se convirtieron en cebo: basta una línea de código para que tu Mac deje de ser tuyo.
Más de 100 apps populares para Mac usadas como cebo: probablemente estés en riesgo
Los ciberdelincuentes han desplegado una campaña a gran escala contra usuarios de macOS, disfrazando malware como programas populares. Así lo informó la empresa LastPass, que descubrió que su propio producto también fue falsificado. La distribución se realiza a través de repositorios falsos en GitHub, optimizados para motores de búsqueda, por lo que aparecen en las primeras posiciones de los resultados de Google y Bing.
La campaña utiliza el esquema ClickFix: a la víctima se le pide insertar en la terminal un comando supuestamente para instalar una aplicación. En realidad ejecuta una solicitud curl a una URL cifrada y descarga un script install.sh en el directorio /tmp. Ese archivo instala en el equipo el troyano Atomic Stealer (AMOS). AMOS es una herramienta MaaS (Malware-as-a-Service) cuyo alquiler cuesta $1000 al mes. Su función básica es robar datos de los dispositivos infectados, pero recientemente sus creadores añadieron un backdoor para acceso oculto y persistente al sistema.
Según la información de LastPass, los atacantes no se limitan a falsificar una sola marca. La lista de programas falsos supera los 100 e incluye soluciones como 1Password, Dropbox, Confluence, Robinhood, Fidelity, Notion, Gemini, Audacity, Adobe After Effects, Thunderbird y SentinelOne. Para eludir bloqueos, los estafadores crean numerosas cuentas falsas en GitHub y duplican allí repositorios con un botón «Download». Al hacer clic en él se redirige a un sitio secundario donde se publica la instrucción para ejecutar el comando en la terminal.
Escenarios similares en macOS se habían registrado antes. Anteriormente se informó sobre copias de Booking.com y sobre programas falsos para «solucionar problemas» del sistema, que se distribuían mediante anuncios publicitarios. En la campaña actual las dimensiones son claramente mayores: la automatización permite levantar nuevas páginas con rapidez después de los bloqueos.
LastPass subraya que vigila la situación de forma constante y presenta quejas sobre los proyectos falsos ante la administración de GitHub; sin embargo, la amenaza persiste debido a la facilidad para crear nuevos recursos.
Los especialistas recuerdan que solo se debe confiar en los sitios oficiales de los desarrolladores. Si la versión para macOS del producto no está disponible por parte del fabricante, la «alternativa» casi con toda seguridad será maliciosa. En los casos en que la aplicación sí esté disponible, es importante verificar que la distribuya una fuente confiable y no un recurso desconocido de terceros.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla