Dos investigaciones revelan cómo nuevas amenazas para macOS combinan ingeniería social, robo de sesiones y ataques contra billeteras para convertir archivos locales en control sobre cuentas y activos digitales.
***
- ClickLock Stealer habría afectado al menos a 100 usuarios en 33 países y utilizó páginas de ClickFix para inducir la ejecución de comandos en Terminal.
- El malware emplea bucles de terminación de procesos y falsos diálogos para presionar a las víctimas hasta obtener contraseñas y acceso al llavero.
- Otra investigación mostró que el robo de sesiones de Telegram y el reemplazo de aplicaciones de wallets pueden facilitar el espionaje y el phishing de frases de recuperación.
🚨 Nuevas amenazas para macOS: robo de sesiones y ataques a wallets cripto.
El malware ClickLock Stealer ha afectado a más de 100 usuarios en 33 países.
Utiliza ingeniería social para robar contraseñas y acceder a wallets.
Telegram y aplicaciones de criptomonedas están en la… pic.twitter.com/trVilcaxt3
— Diario฿itcoin (@DiarioBitcoin) July 17, 2026
Las amenazas contra usuarios de macOS están combinando robo de información, ingeniería social y manipulación de aplicaciones legítimas. Dos investigaciones recientes describen campañas capaces de extraer credenciales, reutilizar sesiones autenticadas y atacar directamente los activos digitales almacenados en una Mac.
El caso más visible corresponde a ClickLock Stealer, un malware modular identificado por Group-IB. La amenaza utilizó páginas de ClickFix para convencer a las víctimas de pegar comandos en Terminal y después empleó técnicas agresivas para forzar la entrega de contraseñas.
Una investigación separada de SlowMist expuso una cadena de ataque con objetivos similares, aunque no la presentó como ClickLock Stealer. Ese malware buscaba sesiones locales de Telegram, bases de datos de wallets, información del llavero, cookies y notas de Apple.
ClickLock convierte la ingeniería social en coerción
ClickLock Stealer apareció en una muestra subida a VirusTotal el 9 de junio, inicialmente sin detecciones. Group-IB indicó que la campaña habría afectado al menos a 100 víctimas en 33 países durante aproximadamente dos meses.
Más de la mitad de los usuarios afectados se encontraban en Europa. Los investigadores creen que los atacantes pudieron utilizar posicionamiento malicioso en buscadores, publicaciones en redes sociales o sitios comprometidos para dirigir tráfico hacia páginas de ClickFix.
La página simulaba una verificación de Cloudflare y pedía al usuario copiar un comando de Bash, pegarlo en la Terminal de macOS y ejecutarlo. Con ese paso, la propia víctima descargaba el script orquestador usando sus privilegios, sin necesidad de una vulnerabilidad o una escalada adicional.
El orquestador ocultaba el cursor y mostraba una animación falsa de progreso de Cloudflare. Mientras tanto, descargaba cuatro componentes desde dos sitios de WordPress comprometidos: un ladrón de credenciales, un ladrón de criptomonedas, un módulo para el llavero y un instalador de puerta trasera.
El diseño modular permitía separar las funciones del ataque. Dos componentes robaban credenciales, otro buscaba datos de más de 30 extensiones de wallets y el cuarto instalaba GSocket, una herramienta de acceso inverso de código abierto disfrazada como un proceso de iCloud.
Bucles de terminación y robo de credenciales
El malware mostraba diálogos falsos de contraseña mediante AppleScript. Después validaba las respuestas contra el servicio de directorio local, de modo que el operador recibiera una contraseña correcta y no solamente cualquier texto introducido por la víctima.
Si el usuario cancelaba el aviso, el orquestador instalaba dos LaunchAgents. Estos mecanismos relanzaban los módulos de credenciales durante el siguiente inicio de sesión, manteniendo la presión incluso después de reiniciar el equipo.
El ataque también utilizaba bucles de terminación para cerrar Finder, Dock, navegadores, Terminal y Monitor de Actividad. Según la investigación, el ciclo podía mantenerse durante hasta 83 horas, dejando la ventana de contraseña como uno de los pocos elementos visibles.
Un patrón similar afectaba al llavero de macOS. Cuando el sistema solicitaba autorización para acceder a la clave de Chrome Safe Storage, el malware terminaba repetidamente otras aplicaciones hasta que la víctima aprobaba el diálogo real.
Otro bucle cerraba NotificationCenter durante aproximadamente seis horas. La finalidad consistía en suprimir advertencias de Gatekeeper y otros avisos de seguridad que podrían alertar al usuario sobre la actividad maliciosa.
El componente de credenciales también podía solicitar la contraseña mediante un diálogo falso y mantenerlo activo durante un periodo prolongado. Después de recolectar la información, los módulos falsificaban marcas de tiempo y se eliminaban a sí mismos, aunque la puerta trasera de GSocket permanecía instalada.
Wallets, Telegram y control de activos
ClickLock Stealer buscaba credenciales de navegadores, extensiones de administradores de contraseñas, credenciales FTP, historial de shell y direcciones de blockchain pertenecientes a seis cadenas. También extraía datos de bóvedas cifradas almacenadas en LevelDB.
El módulo de wallets recorría más de 30 extensiones, entre ellas MetaMask y Phantom. La exfiltración se realizaba mediante tres bots de Telegram, sin que los operadores necesitaran mantener un servidor de comando y control dedicado.
El análisis de SlowMist describió una amenaza distinta con una estrategia más amplia. Su muestra recopilaba el llavero de macOS, cookies de Safari, notas de Apple, datos locales de Telegram Desktop y bases de datos de más de una docena de aplicaciones de wallets.
El robo de Telegram resultaba especialmente relevante porque el directorio local tdata puede contener una sesión ya autenticada. En las pruebas de SlowMist, la restauración de esos archivos permitió abrir la cuenta sin solicitar número telefónico, código de verificación ni contraseña de verificación en dos pasos.
El hallazgo no significa que el malware hubiera descifrado la verificación en dos pasos. La amenaza reutilizaba una autorización local existente y evitaba el proceso de autenticación inicial, por lo que la protección no volvía a activarse en ese escenario.
SlowMist también señaló que Telegram Desktop y Telegram para macOS pueden responder de forma diferente ante actividad anómala. En ciertos casos, la sesión replicada no aparece de manera clara como un dispositivo nuevo, mientras que las conversaciones almacenadas localmente pueden seguir accesibles.
El riesgo de las wallets reemplazadas
La amenaza analizada por SlowMist buscaba aplicaciones como Electrum, Coinomi, Exodus, Atomic, Wasabi, Monero, Guarda, Sparrow, Bitcoin Core, Litecoin Core, Dash Core, Dogecoin Core, Ledger Live y Trezor Suite.
También copiaba datos de extensiones de wallets en navegadores basados en Chromium. La investigación identificó una lista integrada de 223 identificadores de extensiones relacionadas con criptomonedas.
El robo de una base de datos cifrada no garantiza por sí mismo el acceso a los fondos. Sin embargo, los atacantes pueden combinarla con contraseñas candidatas procedentes del llavero, los navegadores, Apple Notes y falsos diálogos de autenticación.
En una prueba con Atomic Wallet 2.70, SlowMist restauró una base de datos LevelDB y probó contraseñas obtenidas de distintas fuentes. Una de esas candidatas permitió descifrar los datos que contenían materiales necesarios para controlar los activos.
La amenaza utilizaba además un segundo camino. Eliminaba instalaciones legítimas de Ledger Live, Ledger Wallet y Trezor Suite, descargaba archivos ZIP y extraía reemplazos en la carpeta de aplicaciones.
Las aplicaciones sustitutas no implementaban funciones reales de wallet. En su lugar, abrían un WKWebView con JavaScript habilitado y cargaban páginas remotas controladas por los atacantes.
Desde esas interfaces falsas, la víctima podía recibir solicitudes para introducir una frase de recuperación, un PIN o una contraseña. Si entregaba la frase, el atacante obtenía control sobre la wallet sin necesidad de descifrar la base de datos local.
Recomendaciones para usuarios de macOS
Group-IB recomendó tratar cualquier página que instruya a pegar comandos en Terminal como un posible intento de ataque. Una verificación legítima no debería exigir que el usuario ejecute código recibido desde un sitio web.
Si el escritorio comienza a cerrar aplicaciones de manera repentina, la recomendación es forzar el apagado y reiniciar en Modo Seguro. Introducir una contraseña para recuperar el control puede entregar al atacante la credencial que está buscando.
Ante una posible infección, los usuarios deben cerrar las sesiones de Telegram desde un dispositivo confiable. También conviene cambiar la contraseña de verificación en dos pasos y activar un Código de Acceso fuerte y único para Telegram Desktop.
Si una wallet o una frase de recuperación pudo quedar expuesta, cambiar la contraseña de la aplicación no basta. La medida más segura consiste en crear una nueva frase en un dispositivo limpio y transferir los fondos a nuevas direcciones.
Las aplicaciones de Ledger y Trezor deben instalarse únicamente desde fuentes oficiales. Si una frase de recuperación fue introducida en una aplicación sospechosa, debe considerarse comprometida y reemplazarse de inmediato.
Finalmente, los usuarios deberían cambiar las contraseñas guardadas o reutilizadas en el llavero, Apple Notes y los navegadores. La prioridad debe incluir el correo electrónico, los exchanges, el almacenamiento en la nube, las redes sociales y los administradores de contraseñas.
Estas campañas muestran que el riesgo no depende únicamente de vulnerabilidades técnicas. Una sesión autenticada, una contraseña reutilizada o una aplicación falsa pueden ofrecer al atacante una ruta directa hacia cuentas, conversaciones y activos digitales.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresas
Empresa cripto de Mike Novogratz convierte el estadio Texas Tech en Galaxy Stadium
Bitcoin
Bitcoin cae bajo USD $63.000 mientras tenedores de largo plazo venden con pérdidas
Empresas
Crítico de tecnología, Ed Zitron, alerta: un colapso de OpenAI podría sacudir los mercados
Empresas