Campañas ClickFix difunden MacSync, un infostealer para macOS
Publicado el
Introducción
Recientemente, se han detectado tres campañas ClickFix que actúan como vectores de entrega para el infostealer MacSync en macOS. Este malware se distribuye mediante herramientas de instalación falsas, lo que representa un riesgo significativo para los usuarios desprevenidos.
Métodos de ataque
Según investigadores de Sophos, el enfoque de estas campañas se basa en la interacción del usuario, en lugar de ataques tradicionales que explotan vulnerabilidades. Esto hace que sean especialmente efectivas contra quienes no comprenden los riesgos de ejecutar comandos desconocidos en Terminal. Aunque no se ha confirmado si todas las campañas son obra del mismo actor de amenaza, la utilización de *ClickFix* como señuelo para distribuir el malware ya había sido señalada por Jamf Threat Labs en diciembre de 2025.
Detalles de las campañas
1. Noviembre de 2025: La primera campaña utilizó el navegador OpenAI ChatGPT Atlas como cebo, dirigiendo a los usuarios a un URL falso de Google Sites con un botón de descarga. Al hacer clic, se instruía a los usuarios a abrir Terminal y pegar un comando, lo que descargaba un script que requería la contraseña del sistema para ejecutar MacSync con permisos de usuario.
2. Diciembre de 2025: Esta campaña se centró en anuncios patrocinados relacionados con búsquedas sobre la limpieza de Mac, llevando a los usuarios a conversaciones en el sitio legítimo de OpenAI ChatGPT. Desde allí, se redirigía a páginas maliciosas con temática de GitHub que engañaban a los usuarios para ejecutar comandos dañinos en Terminal.
3. Febrero de 2026: La última campaña apuntó a Bélgica, India y partes de América del Norte y del Sur, distribuyendo una nueva variante de MacSync a través de *ClickFix*. Esta versión soporta payloads de AppleScript dinámicos y se ejecuta en memoria para eludir análisis estáticos y detecciones conductuales.
Impacto del malware
El script que se lanza tras ejecutar el comando en Terminal contacta un servidor codificado para recuperar el payload del infostealer, mientras que simultáneamente toma medidas para eliminar cualquier rastro del robo de datos. MacSync es capaz de recopilar una amplia gama de información de los sistemas comprometidos, incluidos credenciales, archivos, bases de datos de llaveros y frases semilla de wallets de criptomonedas.
Los últimos hallazgos indican que los actores de amenaza están adaptando sus estrategias para mantenerse un paso por delante de las herramientas de seguridad, aprovechando la confianza asociada a las conversaciones de ChatGPT para convencer a los usuarios de ejecutar comandos maliciosos. Sophos ha advertido que esta nueva variante probablemente representa un ajuste por parte del desarrollador del malware para adaptarse a las medidas de seguridad del sistema operativo y del software.
Evolución de las tácticas
Las campañas ClickFix recientes han utilizado plataformas legítimas como Cloudflare Pages, Squarespace y Tencent EdgeOne para alojar instrucciones fraudulentas para la instalación de herramientas de desarrollo como Claude Code de Anthropic. Estos URLs son distribuidos a través de anuncios maliciosos en motores de búsqueda. Las instrucciones engañan a las víctimas para que instalen malware infostealer como Amatera Stealer.
La campaña de ingeniería social ha sido nombrada *InstallFix* o *GoogleFix*. Según Nati Tal, de Guardio Labs, cadenas de infección similares han conducido al despliegue de infostealers como Alien en Windows y Atomic Stealer en macOS.
Conclusiones
La sofisticación de las campañas ClickFix demuestra un enfoque industrializado para la entrega de malware, utilizando anuncios patrocinados para desviar a los usuarios que buscan soluciones a problemas comunes de macOS hacia páginas maliciosas. Este modelo de ataque es alarmante, ya que elimina la necesidad de crear motivos ficticios para que el usuario ejecute un comando. En su lugar, el pretexto es simplemente la intención del usuario de instalar software legítimo, lo que subraya la necesidad de una mayor concienciación y educación cibernética entre los usuarios de macOS.