Nuevo ataque ClickFix en macOS monta DMGs en silencio para colar un infostealer
Resumen rápido
Una variante de ClickFix dirigida a macOS engaña al usuario para que ejecute comandos que montan imágenes DMG de forma silenciosa y despliegan un infostealer. El robo de credenciales en Mac ya no es un caso marginal.
Los operadores de ClickFix —la técnica que convence al usuario de pegar y ejecutar un comando 'para arreglar' un supuesto error— han adaptado su manual a macOS. En esta variante, el comando montado silenciosamente abre una imagen de disco DMG y lanza un infostealer que rastrea credenciales, cookies de sesión y carteras.
ClickFix funciona porque traslada la ejecución al propio usuario: no hay exploit ni descarga drive-by que un control perimetral pueda frenar; es la víctima quien copia el comando desde una web o un captcha falso y lo pega en la terminal. En macOS, además, el montaje de un DMG es una acción cotidiana que no despierta sospechas.
Los infostealer para macOS llevan año y medio profesionalizándose. Una vez robadas, las credenciales y cookies se revenden o se usan para secuestrar sesiones SaaS sin necesidad de volver a autenticarse, saltándose incluso el MFA basado en contraseña.
Para defenderse, conviene formar a los usuarios contra el patrón 'copia-pega este comando', vigilar ejecuciones inusuales de hdiutil y shells lanzadas desde el navegador, y tratar las sesiones SaaS robadas como un incidente de identidad, no solo de endpoint.
¿Estás cubierto en DefensOps?
DefensOps detecta los TTPs de esta amenaza con reglas premium del motor de detección:
- Regla 111003 — Volcado de LSASS (Mimikatz) (
T1003.001) · plan Professional - Regla 111005 — PowerShell ofuscado / encoded command (
T1059.001) · plan Professional
Técnicas MITRE ATT&CK cubiertas: T1003.001, T1059.001
Plan mínimo: Professional
Solicita una demo de DefensOps y comprueba en minutos qué visibilidad tendrías sobre una campaña como esta.
Fuente primaria: https://www.bleepingcomputer.com/news/security/new-macos-clickfix-attack-silently-mounts-dmgs-to-push-infostealer/
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Professional.
Técnicas MITRE ATT&CK: T1003.001, T1059.001
- Volcado de LSASS (Mimikatz) · T1003.001 · regla 111003 · plan Professional
- PowerShell ofuscado / encoded command · T1059.001 · regla 111005 · plan Professional
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.