- Group-IB presenta ClickLock, una nueva infoestelar centrada en macOS que utiliza ingeniería social agresiva para enviar spam a solicitudes de contraseña y cerrar aplicaciones clave cada 210 ms hasta que las víctimas cumplan
- Una vez obtenidas las credenciales, extrae datos del navegador, billetera criptográfica, entradas del administrador de contraseñas, configuración de FTP e información del dispositivo a través de la API del bot de Telegram.
- Activo desde mayo de 2026, visto en 33 países (principalmente Europa), distribuido a través de campañas de clickfix e inicialmente no detectado por los proveedores de seguridad hasta hace poco.
Los investigadores de seguridad de Group-IB han descubierto una nueva información estelar dirigida principalmente a usuarios de macOS en Europa.
Apodado ClickLock, es un molesto método de ingeniería social en lugar de una variante de malware en toda regla, que muestra repetidamente un mensaje de inicio de sesión en los dispositivos de las víctimas hasta que finalmente cumplen y comparten las credenciales.
Cada 210 milisegundos cierra las aplicaciones principales del dispositivo (Finder, Dock, Terminal, etc.), esencialmente dejándolo inútil. Al mismo tiempo, muestra un cuadro de diálogo de contraseña en la pantalla, lo que garantiza que la víctima no pueda hacer nada más que proporcionar las credenciales.
Dirigirse a los europeos
El ciclo continuará durante tres días consecutivos, lo que sea mayor, o hasta que la víctima se retire.
Después de obtener la clave de estado, el malware comienza a funcionar y a filtrar información valiosa.
Esto incluye navegadores clave (Chrome, Firefox, Brave y otros), inicios de sesión guardados, cookies, datos de autocompletar y otra información del navegador, datos vinculados a billeteras y extensiones de criptomonedas, componentes de bóveda de billeteras cifradas que se pueden descifrar fuera del sitio, datos de administradores de contraseñas, direcciones de criptomonedas en caché, seguimiento de almas, proveedores, TON y pilas públicas, historial de shell, configuración FTP de FileZilla y datos recientes del servidor, e información básica del dispositivo. Luego, todo se empaqueta en un archivo .ZIP y se exporta a través de una API de Telegram Bot.
Group-IB dice que la promoción ha estado activa desde al menos mayo de 2026, por lo que ha estado activa durante algunos meses. Un investigador envió una variante a VirusTotal a principios de junio, pero no fue detectada por todos los proveedores de seguridad hasta hace poco, dijo Group-IB.
Hasta ahora, se ha visto en 33 países, más de la mitad de los cuales están en Europa, añadió. Es probable que el malware se distribuya a través de una campaña de ingeniería social de ClickFix y no se haya vinculado a ningún actor de amenaza específico.

El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.