Quisieron limpiar su Mac y terminaron vaciando su billetera de criptomonedas: la historia de por qué un servicio gratuito puede costar más que un portátil nuevo
Apariencias impecables que esconden un colapso tota
Los atacantes lanzaron una nueva campaña contra los propietarios de Mac, disfrazando el esquema malicioso como la descarga de la popular utilidad CleanMyMac. El ataque apunta tanto al dinero como a los datos personales: tras la infección las víctimas pierden contraseñas, contenido de navegadores, monederos de criptomonedas y acceso a aplicaciones de mensajería, y luego los operadores se afianzan en el sistema para mantener el control.
Sobre la campaña informó el equipo de Malwarebytes Labs. Según la empresa, los estafadores crearon una copia casi idéntica del sitio de CleanMyMac, no vinculada con el desarrollador legítimo MacPaw. Para atraer usuarios, los delincuentes probablemente compran publicidad y secuestran a quienes buscan la utilidad para limpiar macOS.
El esquema no se basa en una vulnerabilidad, sino en ingeniería social. Al visitante se le ofrece abrir "Terminal" e introducir un comando que supuestamente es necesario para la instalación. Tras ejecutarlo, el comando descarga en secreto desde el servidor de los operadores el stealer SHub. Ese enfoque ayuda a sortear las protecciones integradas de macOS, porque el propio usuario confirma la ejecución.
Para ocultarlo, el script muestra un mensaje tranquilizador sobre la conexión al recurso MacPaw, aunque la dirección real está oculta en forma codificada. Tras ejecutarse, el cargador envía al servidor de mando datos del sistema e identificador de la infección. Los especialistas de Malwarebytes hallaron en el código la marca "PAds", que podría indicar el uso de publicidad pagada para atraer víctimas al sitio falso.
Durante la instalación, SHub solicita la contraseña del usuario. Al obtener acceso, el malware comienza a recopilar datos del llavero de macOS (Keychain), de navegadores basados en Chromium y de Safari, y también busca extensiones de monederos de criptomonedas. Corren riesgo las contraseñas guardadas, las cookies, los datos de autocompletar, las claves Wi‑Fi, los tokens de aplicaciones, las cuentas de iCloud, las bases de Apple Notes y los archivos de sesión de Telegram.
El robo de datos no es el final del ataque. SHub deja en el sistema una puerta trasera, sustituye una de las aplicaciones del monedero por una copia maliciosa y instala un LaunchAgent haciéndose pasar por el servicio de actualización de Google. Ese mecanismo permite a los operadores ejecutar comandos en el Mac infectado mientras no se detecten y eliminen las trazas de persistencia.
Malwarebytes recomienda no ejecutar comandos procedentes de internet sin comprender completamente su propósito y descargar programas solo desde la App Store o desde los sitios oficiales de los desarrolladores. A quienes ya ejecutaron el comando, la empresa aconseja transferir urgentemente fondos a nuevas carteras desde un dispositivo limpio, cambiar las contraseñas, revocar tokens sensibles y revisar el Mac en busca de mecanismos de persistencia.