Nueva variante de ataque ClickFix en macOS monta archivos DMG en silencio para distribuir software de robo de credenciales

Qué pasó

Segun el reporte publicado por BleepingComputer, la nueva campana adopta la mecanica tipica de los ataques ClickFix, que inducen al usuario a ejecutar una accion aparentemente inocua, como copiar y pegar un fragmento de codigo en el sistema o confirmar un cuadro de dialogo. En esta variante, el engano lleva a la victima a montar un archivo DMG, formato de imagen de disco propio de macOS, sin que aparezca en pantalla una alerta visible de instalacion.

Una vez montada la imagen, el malware infostealer se ejecuta en segundo plano, recopilando credenciales de acceso, cookies de navegadores, billeteras de criptomonedas y otra informacion sensible almacenada en el equipo. Los analistas senalan que la campana se distribuye principalmente mediante paginas web falsificadas que imitan servicios legítimos y mediante ventanas emergentes que solicitan al usuario resolver una supuesta verificacion de identidad o captcha.

El informe destaca que la principal innovacion respecto de versiones anteriores de ClickFix es la capacidad de montar los archivos DMG sin intervencion explicita del usuario mas alla de una primera interaccion, lo que reduce las posibilidades de deteccion temprana. Adicionalmente, el codigo malicioso incorpora mecanismos de persistencia que le permiten mantenerse activo tras el reinicio del equipo.

De acuerdo con la publicacion, la campana estaria activa desde al menos el primer trimestre de 2026 y habria afectado a usuarios corporativos y consumidores por igual. BleepingComputer no preciso en su nota inicial el numero total de victimas ni la identidad del grupo atacante, aunque senalo que el estilo operativo es consistente con operadores que previamente dirigieron campanas similares contra sistemas Windows.

Contexto

La familia de ataques ClickFix se popularizo a partir de 2024 como una evolucion de lascampanas de phishing tradicional. En lugar de depender de archivos adjuntos o enlaces a documentos, los atacantes explotan la confianza del usuario en interacciones cotidianas, como la copia de comandos en la terminal o la aceptacion de cuadros de dialogo del sistema. Esta metodologia ha demostrado tasas de exito elevadas frente a usuarios entrenados en detectar correos fraudulentos.

El ecosistema macOS ha sido durante anos considerado un entorno menos expuesto a malware debido a la fragmentacion reducida del mercado y a las politicas de revision de la tienda oficial de Apple. Sin embargo, distintos informes del ultimo bienio muestran un incremento sostenido de campanas dirigidas especificamente a esta plataforma, en la medida que crece su adopcion en ambientes corporativos y de desarrollo.

Los infostealers representan una de las categorias de malware con mayor crecimiento en el mercado clandestino. Programas como Atomic, Lumma o Raccoon, entre otros, han consolidado un modelo de distribucion como servicio que facilita a grupos con menor capacidad tecnica acceder a herramientas de robo de credenciales. La integracion de estas familias con tecnicas de ingenieria social, como ClickFix, multiplica el alcance de las operaciones.

El reporte se publica en un contexto de tension creciente en materia de ciberseguridad a nivel global, con episodios recientes como la brecha de datos de Klue vinculada a un ataque de OAuth, la exposicion de credenciales de dispositivos Fortinet estimada en 73.000 equipos y la filtracion de licencias de conducir en Texas que afectaria a mas de tres millones de personas. Estos eventos ilustran la diversidad de vectores que enfrentan actualmente las organizaciones.

Impacto para empresas chilenas

El mercado chileno de dispositivos Apple tiene una presencia significativa en el segmento corporativo, particularmente en empresas de servicios financieros, agencias creativas, firmas de consultoria y areas de desarrollo de software. La disponibilidad de una nueva variante de infostealer para macOS obliga a los equipos de seguridad locales a actualizar sus matrices de riesgo y a revisar los procedimientos de respuesta ante incidentes.

Para las pequenas y medianas empresas del pais, el principal desafio radica en la percepcion de que los equipos Mac no requieren el mismo nivel de proteccion que las estaciones de trabajo con Windows. Esta idea, aun extendida, queda en evidencia frente a campanas de la naturaleza descrita, donde un solo cuadro de dialogo aceptado por un colaborador puede derivar en el compromiso de credenciales corporativas, accesos a plataformas SaaS y cuentas bancarias.

Los departamentos de tecnologia de empresas chilenas deberan reforzar las politicas de control de aplicaciones, restringir la ejecucion de imagenes de disco de origen no verificado y desplegar soluciones de deteccion y respuesta de endpoints compatibles con macOS. Adicionalmente, resulta clave fortalecer los programas de capacitacion, dado que la mayoria de los ataques ClickFix se apoyan en un error humano inicial.

El sector financiero local, regulado por la Comision para el Mercado Financiero, enfrenta requisitos especificos de gestion de riesgos operacionales y ciberseguridad. Un incidente de robo de credenciales puede derivar en sanciones regulatorias, perdida de confianza de clientes y costos asociados a la notificacion de brechas, en linea con las disposiciones de la Ley 19.628 sobre proteccion de datos personales.

Qué sigue

Es previsible que los operadores de ClickFix continuan iterando sobre sus mecanismos de distribucion, incorporando nuevas tecnicas de evasion y explorando plataformas adicionales. Los equipos de seguridad deberan mantenerse atentos a actualizaciones de los principales proveedores de inteligencia de amenazas y a los boletines emitidos por Apple.

En el corto plazo, se recomienda a las organizaciones chilenas realizar revisiones puntuales de sus endpoints macOS, validar la integridad de los perfiles de configuracion y promover una cultura de verificacion de cualquier solicitud de ejecucion de comandos o montaje de archivos, por familiar que parezca. La prevencion sigue siendo la herramienta mas eficaz frente a campanas que dependen de la interaccion humana para prosperar.