Investigadores de seguridad han detectado una preocupante escalada en los ataques dirigidos a usuarios de macOS. Los atacantes están abusando del "Editor de Scripts" (Script Editor), una aplicación integrada en el sistema, para eludir ciertas restricciones de los comandos de terminal e instalar el troyano de robo de información Atomic Stealer (AMOS).
Una cadena de ataque disfrazada de herramienta de limpieza
Según un informe del equipo de seguridad de Jamf, los atacantes crean sitios web falsos con una estética idéntica a la de Apple, prometiendo ayudar a los usuarios a solucionar problemas de falta de espacio en disco. Estas páginas no solo lucen profesionales, sino que ofrecen pasos de limpieza aparentemente legítimos para incitar a los usuarios a hacer clic en enlaces específicos.
A diferencia de métodos anteriores que requerían que el usuario escribiera comandos manualmente en la Terminal, esta variante explota el protocolo "applescript://". Al hacer clic en un botón del sitio web, el sistema abre automáticamente el Editor de Scripts y carga una serie de instrucciones maliciosas. Este código utiliza comandos 'curl | zsh' ofuscados para descargar la carga útil directamente en la memoria del sistema y ejecutarla.
Los investigadores señalan que el malware realiza una serie de operaciones complejas, como decodificar cargas útiles en Base64, descargar un archivo binario llamado "/tmp/helper" y utilizar el comando 'xattr -c' para eliminar los atributos de seguridad, logrando así persistencia en el sistema objetivo.
Atomic Stealer es un producto típico de "malware como servicio" (MaaS) que ha ganado popularidad en ataques ClickFix recientes. Una vez instalado, el troyano roba rápidamente datos del llavero (Keychain), contraseñas almacenadas en navegadores, información de autocompletado, datos de tarjetas de crédito y claves privadas de billeteras de criptomonedas.
Además, el malware incluye funciones de puerta trasera (backdoor) que otorgan a los atacantes acceso continuo al dispositivo infectado. Aunque Apple introdujo mecanismos de advertencia en la Terminal contra ataques ClickFix en macOS Tahoe 26.4, esta nueva técnica demuestra que los hackers ajustan constantemente sus estrategias para evadir las protecciones del sistema.
Los expertos en seguridad recomiendan a los usuarios extremar la precaución y no ejecutar nunca sugerencias del Editor de Scripts que provengan de sitios web desconocidos. Si necesita realizar tareas de mantenimiento o solucionar problemas técnicos, consulte siempre la documentación oficial de Apple.
