De acuerdo con Cryptopolitan, el 11 de mayo, el equipo de investigación de seguridad de Microsoft Defender publicó los resultados de su investigación, en los que descubrió que los atacantes publicaron guías falsas de solución de problemas de macOS en plataformas como Medium y Craft desde finales de 2025. El objetivo era inducir a los usuarios a ejecutar comandos maliciosos en la terminal para, así, instalar malware que roba claves de carteras de criptomonedas, datos de iCloud y contraseñas guardadas en el navegador.
Mecanismo del ataque: ClickFix para eludir el Gatekeeper de macOS
Según el informe del equipo de investigación de seguridad de Microsoft Defender, los atacantes emplean una técnica de ingeniería social llamada ClickFix: publican guías de solución de problemas de macOS disfrazadas de “liberar espacio en disco” o “reparar errores del sistema” en plataformas como Medium, Craft y Squarespace, con el fin de guiar a los usuarios a copiar comandos maliciosos y pegarlos en macOS Terminal. Tras ejecutar el comando, el software malicioso se descarga y se inicia automáticamente.
Según el informe de Microsoft, esta técnica elude el mecanismo de seguridad de Gatekeeper de macOS, debido a que Gatekeeper se encarga de la verificación de firmas de código y de la autenticación notarial para aplicaciones que se ejecutan mediante Finder, pero la forma en que el usuario ejecuta comandos directamente en Terminal no está sujeta a ese paso de verificación. Los investigadores también descubrieron que los atacantes utilizan curl, osascript y otras herramientas nativas de macOS para ejecutar código malicioso directamente en memoria (ataque sin archivos), lo que dificulta que las herramientas antivirus estándar puedan detectarlo.
Familias de malware, alcance del robo y mecanismos especiales
Según el informe de Microsoft, la actividad de este ataque involucra tres familias de malware (AMOS, Macsync, SHub Stealer) y tres tipos de instaladores (Loader, Script, Helper). Los datos objetivo que se roban incluyen:
Claves de carteras de criptomonedas: Exodus, Ledger, Trezor
Credenciales de cuenta: iCloud, Telegram
Contraseñas guardadas en el navegador: Chrome, Firefox
Archivos privados y fotos: archivos locales de menos de 2 MB
Después de instalarse, el malware muestra cuadros de diálogo falsos que piden al usuario introducir la contraseña del sistema para instalar “herramientas auxiliares”. Si el usuario introduce la contraseña, el atacante puede obtener acceso completo a archivos y a la configuración del sistema. El informe de Microsoft también señala que, en algunos casos, los atacantes eliminan las aplicaciones legítimas Trezor Suite, Ledger Wallet y Exodus y las sustituyen por versiones con troyanos integrados para monitorizar transacciones y robar fondos. Además, los cargadores que incluye el malware incorporan un conmutador de apagado: si detecta un diseño de teclado en ruso, el malware se detiene automáticamente.
Actividades de ataque relacionadas y medidas de protección de Apple
Según la investigación de los analistas de seguridad de ANY.RUN, Lazarus Group ha iniciado una campaña de piratería llamada “Mach-O Man”, que emplea técnicas similares a ClickFix, mediante la falsificación de invitaciones a reuniones para atacar, con macOS como sistema operativo principal, a empresas de tecnología financiera y criptomonedas.
Cryptopolitan también informa que el grupo de hackers norcoreano Famous Chollima utiliza generación de código con IA para insertar paquetes maliciosos de npm en proyectos de operaciones de criptomonedas. El malware emplea una arquitectura de ofuscación en dos capas para robar datos de las carteras y la información secreta del sistema.
Según el reporte, Apple añadió en la versión macOS 26.4 un mecanismo de protección capaz de impedir que comandos marcados como potencialmente maliciosos se peguen en la terminal de macOS.
Preguntas frecuentes
¿Desde cuándo comenzaron las actividades de ataque ClickFix en macOS divulgadas por Microsoft Defender y en qué plataformas se publicaron?
Según el informe del equipo de investigación de seguridad de Microsoft Defender y Cryptopolitan, del 11 de mayo de 2026, la actividad del ataque comenzó a estar activa a finales de 2025. Los atacantes publicaron guías falsas de solución de problemas de macOS en plataformas como Medium, Craft y Squarespace, para inducir a los usuarios de Mac a ejecutar comandos maliciosos de Terminal.
¿Qué carteras de criptomonedas y tipos de datos son objetivo de esta actividad de ataque?
Según el informe de Microsoft Defender, el malware involucrado (AMOS, Macsync, SHub Stealer) puede robar claves de carteras de Exodus, Ledger y Trezor, así como datos de cuentas de iCloud y Telegram, además de los nombres de usuario y contraseñas guardados en Chrome y Firefox.
¿Qué medidas de protección introdujo Apple contra este tipo de ataque?
Según el reporte, Apple añadió en la versión macOS 26.4 un mecanismo de protección que bloquea el pegado en Terminal de macOS de comandos marcados como potencialmente maliciosos, para reducir la tasa de éxito de los ataques de ingeniería social tipo ClickFix.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
La FSI de Corea del Sur lanza una herramienta de verificación de seguridad para contratos inteligentes y avanza en tres proyectos
Según Edaily, el Instituto de Seguridad Financiera de Corea del Sur (FSI) anunció hoy el desarrollo de una herramienta dedicada de verificación de seguridad de contratos inteligentes y está impulsando tres iniciativas principales, incluida la construcción de un sistema de verificación de contratos inteligentes y la formación de talento en activos digitales. La herramienta de verificación detectará automáticamente vulnerabilidades importantes en contratos inteligentes utilizados para valores toke
GateNewsHace45m
El desarrollador de Wagyu niega un rug pull en XMR1 y aclara los retiros a través de Terminal
Según Foresight News, el desarrollador de Wagyu PerpetualCow aclaró que los titulares del token XMR1 pueden retirar fondos a través de Terminal en lugar de la interfaz cross-chain heredada, negando las recientes acusaciones de Rug Pull. El desarrollador afirmó que no hay usuarios que hayan reportado fallas al retirar, y que la interfaz del swap ya especifica el método de retiro correcto. Los miembros de la comunidad habían planteado previamente preocupaciones de que Wagyu se parecía a un Rug Pul
GateNewshace2h
El despliegue de Renegade V1 en Arbitrum fue atacado y pierde 209 mil dólares; el hacker de “sombrero blanco” devuelve 190 mil dólares
Según la declaración oficial de Renegade en X, el despliegue legado V1 de Arbitrum del protocolo fue atacado temprano esta mañana (11 de mayo), lo que provocó pérdidas de aproximadamente 209.000 USD. Un hacker de sombrero blanco ha devuelto aproximadamente 190.000 USD, y el equipo confirmó que todos los usuarios afectados recibirán una compensación total. El equipo confirmó que la vulnerabilidad existía únicamente en el despliegue V1 de Arbitrum; los despliegues V1 Base, V2 Arbitrum y V2 Base pe
GateNewshace3h
USDT0 anuncia un mecanismo de validación 3/3 y un programa de recompensas por $6M tras el incidente de Kelp
Según Foresight News, USDT0, el protocolo de interoperabilidad de activos de Tether, anunció detalles de su arquitectura de seguridad tras el incidente de Kelp. El protocolo utiliza una Red de Verificadores Descentralizados (DVN) propietaria con derechos de veto sobre los mensajes y exige tres validadores independientes basados en diferentes codebases para alcanzar consenso 3/3 antes de que los mensajes entre cadenas se asienten. Los nodos de validadores actuales incluyen el DVN propietario de U
GateNewshace4h
Microsoft descubre una campaña de phishing en macOS dirigida a las carteras Exodus, Ledger y Trezor desde finales de 2025
Según el equipo de investigación de seguridad de Microsoft, desde finales de 2025, los atacantes han estado distribuyendo guías de solución de problemas falsas de macOS en plataformas como Medium, Craft y Squarespace para engañar a los usuarios y hacerles ejecutar comandos maliciosos del terminal. Los comandos descargan y ejecutan malware diseñado para robar claves de carteras de criptomonedas de Exodus, Ledger y Trezor, además de datos de iCloud y contraseñas guardadas de Chrome y Firefox. Las
GateNewshace4h
LayerZero emite una disculpa pública por la respuesta al exploit de Kelp DAO, admite una falla de un solo verificador en DVN
Según LayerZero, el protocolo emitió una disculpa pública el viernes por su manejo del exploit del 18 de abril que drenó 292 millones de dólares en rsETH desde el puente entre cadenas de Kelp DAO, marcando un cambio tonal significativo con respecto a su publicación anterior de post-mortem. LayerZero reconoció que su Red de Verificadores Descentralizados (DVN) no debería haber servido como el único verificador para transacciones de alto valor, afirmando: «Nos equivocamos al permitir que nuestro D
GateNewshace4h
