- Los piratas informáticos reviven el ataque ClickFix en macOS
- El nuevo método explota el editor de scripts a través de esquemas de URL
- La campaña proporciona sigilo nuclear para extraer información sensible.
Los expertos advierten que los piratas informáticos están agregando nuevos giros al antiguo ataque ClickFix para evitar las protecciones de macOS introducidas recientemente y seguir entregando malware InfoStellar a los dispositivos de las personas.
Los investigadores de seguridad Jamoff Threat Labs detectaron recientemente una campaña de este tipo y señalaron que hasta ahora, el ataque ClickFix en macOS intentaba que la víctima copiara y pegara un comando en la Terminal.
Sin embargo, con macOS 26.4, este método ya no funciona, ya que el dispositivo escanea todos los comandos pegados antes de ejecutarlos, por lo que los delincuentes se volvieron creativos y encontraron un nuevo punto de entrada: el editor de scripts.
El artículo continúa a continuación.
Dejando caer AMOS
Script Editor es una aplicación macOS integrada que permite a los usuarios escribir, editar y ejecutar scripts para automatizar tareas y controlar aplicaciones. Es compatible con AppleScript y JavaScript, lo que permite a los usuarios optimizar acciones específicas sin la necesidad de crear programas de software completos.
Para lograr que la víctima ejecute el editor de scripts, los atacantes utilizan un esquema de URL.
“Script Editor tiene un historial bien documentado como mecanismo de distribución de malware, por lo que su presencia aquí no es sorprendente”, escribieron los investigadores. “Su papel en esta campaña de ClickFix es importante y se invocó a través de un esquema de URL”.
Un esquema de URL es un tipo especial de enlace que utiliza un prefijo personalizado para desencadenar acciones específicas.
En la campaña, los delincuentes crearon un sitio web que ofrecía una manera de “recuperar espacio en disco” en una Mac. Para hacer esto, los usuarios deben presionar el botón “Ejecutar” que se muestra en la página que invoca un esquema de URL applescript://. El esquema solicitaba al usuario que abriera un editor de secuencias de comandos que, si se permitía, se ejecutaría con una secuencia de comandos precargada.
“Este enfoque reduce la interacción directa del usuario”, añadió Zamoff. “El usuario es dirigido a una ventana del editor de scripts previamente completada en lugar de ingresar comandos en la terminal desde una página web”.
El script eventualmente implementará Atomic Stealer, un conocido ladrón de información de macOS capaz de robar contraseñas, información de billeteras de criptomonedas, datos almacenados en el navegador y más.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
