Versiones pirateadas de software legítimo infectan sistemas macOS de Apple con un ladrón de información
Investigadores de ciberseguridad han detectado una nueva campaña de malware que ha aprovechado archivos de gráficos vectoriales escalables (SVG) como parte de ataques de phishing que se hacen pasar por el sistema judicial colombiano.
Los archivos SVG, según VirusTotal, se distribuyen por correo electrónico y están diseñados para ejecutar una carga útil de JavaScript incrustada, que luego decodifica e inyecta una página de phishing HTML codificada en Base64 que se hace pasar por un portal de la Fiscalía General de la Nación, la Oficina del Fiscal General de la Nación de Colombia.
La página simula la descarga de un documento oficial del gobierno con una falsa barra de progreso, a la vez que activa sigilosamente la descarga de un archivo ZIP en segundo plano. No se reveló la naturaleza exacta del archivo ZIP.
El servicio de análisis de malware de Google afirmó haber encontrado 44 archivos SVG únicos, todos ellos sin ser detectados por los antivirus gracias al uso de técnicas como ofuscación, polimorfismo y grandes cantidades de código basura para evadir los métodos de detección estáticos.
En total, se han detectado hasta 523 archivos SVG en circulación, y la muestra más antigua data del 14 de agosto de 2025.
"Al analizar más a fondo, vimos que las primeras muestras eran más grandes, de alrededor de 25 MB, y que el tamaño disminuía con el tiempo, lo que sugiere que los atacantes estaban evolucionando sus cargas útiles", dijo VirusTotal.
La revelación se produce mientras se utilizan versiones pirateadas de software legítimo y tácticas de estilo ClickFix para atraer a los usuarios a infectar sus sistemas macOS de Apple con un ladrón de información llamado Atomic macOS Stealer (AMOS), exponiendo a las empresas al robo de credenciales, robo financiero y otros ataques posteriores.
"AMOS está diseñado para el robo de datos a gran escala, capaz de robar credenciales, datos del navegador, monederos de criptomonedas, chats de Telegram, perfiles de VPN, elementos de llavero, Apple Notes y archivos de carpetas comunes", declaró Trend Micro. "AMOS demuestra que macOS ya no es un objetivo periférico. A medida que los dispositivos macOS ganan terreno en entornos empresariales, se han convertido en un objetivo más atractivo y lucrativo para los atacantes".
La cadena de ataque consiste básicamente en apuntar a usuarios que buscan software pirateado en sitios como haxmac[.]cc y redirigirlos a falsos enlaces de descarga que proporcionan instrucciones de instalación diseñadas para engañarlos y hacer que ejecuten comandos maliciosos en la aplicación Terminal, lo que desencadena la implementación de AMOS.
![haxmac[.]cc](/images/images533/haxmax.jpg "haxmac[.]cc")
Vale la pena señalar que Apple impide la instalación de archivos .dmg que no tengan la debida notarización debido a las protecciones Gatekeeper de macOS, que requieren que los paquetes de aplicaciones estén firmados por un desarrollador identificado y notarizados por Apple.
"Con el lanzamiento de macOS Sequoia, los intentos de instalar archivos .dmg maliciosos o sin firmar, como los utilizados en las campañas de AMOS, están bloqueados por defecto. Si bien esto no elimina el riesgo por completo, especialmente para los usuarios que pueden eludir las protecciones integradas, aumenta la probabilidad de infecciones exitosas y obliga a los atacantes a adaptar sus métodos de distribución".
Es por esto que los actores de amenazas confían cada vez más en ClickFix, ya que permite instalar el ladrón en la máquina mediante la Terminal mediante un comando curl especificado en la página de descarga del software.
"Si bien las protecciones mejoradas de Gatekeeper de macOS Sequoia bloquearon con éxito las infecciones tradicionales basadas en archivos .dmg, los actores de amenazas rápidamente adoptaron métodos de instalación basados en terminales que demostraron ser más eficaces para eludir los controles de seguridad", afirmó Trend Micro. "Este cambio resalta la importancia de las estrategias de defensa en profundidad que no se basan únicamente en las protecciones integradas del sistema operativo".
Este desarrollo también surge tras el descubrimiento de una "campaña cibernética en expansión" dirigida a jugadores que buscan trampas con el malware StealC, que roba criptomonedas, y que ha generado ganancias por más de 135.000 dólares.
Según CyberArk, esta actividad se caracteriza por aprovechar las capacidades del cargador de StealC para descargar cargas útiles adicionales; en este caso, un ladrón de criptomonedas que puede robar activos digitales de los usuarios en equipos infectados.
