Los operadores de ClickFix —la técnica que convence al usuario de pegar y ejecutar un comando 'para arreglar' un supuesto error— han adaptado su manual a macOS. En esta variante, el comando montado silenciosamente abre una imagen de disco DMG y lanza un infostealer que rastrea credenciales, cookies de sesión y carteras.

ClickFix funciona porque traslada la ejecución al propio usuario: no hay exploit ni descarga drive-by que un control perimetral pueda frenar; es la víctima quien copia el comando desde una web o un captcha falso y lo pega en la terminal. En macOS, además, el montaje de un DMG es una acción cotidiana que no despierta sospechas.

Los infostealer para macOS llevan año y medio profesionalizándose. Una vez robadas, las credenciales y cookies se revenden o se usan para secuestrar sesiones SaaS sin necesidad de volver a autenticarse, saltándose incluso el MFA basado en contraseña.

Para defenderse, conviene formar a los usuarios contra el patrón 'copia-pega este comando', vigilar ejecuciones inusuales de hdiutil y shells lanzadas desde el navegador, y tratar las sesiones SaaS robadas como un incidente de identidad, no solo de endpoint.


¿Estás cubierto en DefensOps?

DefensOps detecta los TTPs de esta amenaza con reglas premium del motor de detección:

  • Regla 111003 — Volcado de LSASS (Mimikatz) (T1003.001) · plan Professional
  • Regla 111005 — PowerShell ofuscado / encoded command (T1059.001) · plan Professional

Técnicas MITRE ATT&CK cubiertas: T1003.001, T1059.001

Plan mínimo: Professional

Solicita una demo de DefensOps y comprueba en minutos qué visibilidad tendrías sobre una campaña como esta.


Fuente primaria: https://www.bleepingcomputer.com/news/security/new-macos-clickfix-attack-silently-mounts-dmgs-to-push-infostealer/