- Un investigador encuentra un sitio de ropa basado en macOS ClickFix que ofrece información estelar disfrazada de verificación de captcha de CloudFlare
- Cuando VirusTotal marcó el malware como un producto troyano/infostellar, las víctimas fueron engañadas para que pegaran comandos AppleScript maliciosos en la terminal.
- El sitio, construido sobre WordPress/WooCommerce y Ghost CMS, fue desconectado después de la divulgación, vinculando el incidente a exploits más grandes de Ghost CMS en la campaña ClickFix en curso.
Based Apparel, una empresa estadounidense de ropa en línea que vende productos con temas patrióticos, conservadores y a favor de la libertad de expresión, aparentemente fue comprometida y utilizada para distribuir malware a través de la técnica ClickFix, pero solo dirigida a usuarios de macOS.
Una investigadora con el seudónimo ‘Debbie’ publicó sus hallazgos Revista PCAntes de compartir la evidencia en video sobre X, decidió echar un vistazo más de cerca después de leer en línea sobre el cofundador de Based Apparel por el director del FBI, Kash Patel.
“El ataque Clickfix apareció un poco mientras navegaba por esto”, dijo Debbie en un correo electrónico. “Eché un vistazo rápido y es simplemente un InfoStellar clásico, envuelto dos veces en base64 (codificación de binario a texto). Es interesante que esté escrito en AppleScript”.
¿Enlaces CMS fantasma?
Una página captcha aparentemente de CloudFlare pedía a las víctimas que verificaran que eran humanos. Este sitio CloudFlare falsificado le dirá a la víctima que se ha detectado “tráfico web anormal” y le pedirá que abra una terminal para confirmar que es humano y pegue un comando compartido en la página.
Ejecutando Infostellar a través de VirusTotal, Revista PC Ha sido marcado como troyano e infostellar por 27 motores antivirus, lo que significa que es un malware básico en lugar de una solución personalizada para ataques dirigidos.
Based Clothing aún no ha comentado, pero su sitio web está actualmente fuera de línea. Al cierre de esta edición, el sitio mostraba un mensaje de “volveremos enseguida” que decía que la empresa estaba “mejorando”.
Aparentemente, el sitio web está construido utilizando dos sistemas de gestión de contenidos: WordPress con WooCommerce para la funcionalidad de la tienda y Ghost CMS para el subdominio de noticias independiente.
Hoy informamos que una vulnerabilidad de gravedad crítica en Ghost CMS, parcheada en febrero de 2026, estaba siendo explotada en más de 700 dominios para lanzar ataques clickfix.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
