Cuidado con los anuncios: un potente malware se hace pasar por apps famosas para atacar a los usuarios de Mac
Si pensabas que los Mac están a salvo de estas cosas, tengo malas noticias. Una nueva campaña de malware está usando anuncios falsos en Google y Bing para colar un software malicioso bastante desagradable llamado Atomic Stealer. Y lo están haciendo de una manera que, la verdad, es bastante ingeniosa: se hacen pasar por aplicaciones que todos conocemos y usamos habitualmente.
Tal y como nos cuentan desde Ars Technica, LastPass ha detectado una campaña masiva que usa SEO malicioso para que sus anuncios falsos aparezcan en los primeros resultados cuando buscas su aplicación. Los anuncios te llevan a páginas de GitHub que parecen completamente legítimas, pero que en lugar de instalar LastPass te plantan Atomic Stealer en el Mac.
Un catálogo de víctimas bastante amplio
Lo que más llama la atención es la cantidad de servicios que están siendo suplantados. No hablamos solo de LastPass: los indicadores de compromiso que han publicado incluyen 1Password, Basecamp, Dropbox, Gemini, Hootsuite y un largo etcétera que abarca Notion, Obsidian, Robinhood, Salesloft, SentinelOne, Shopify, Thunderbird y TweetDeck. Vamos, que han puesto el listón bastante alto en cuanto a variedad.
El funcionamiento es siempre el mismo: anuncios con tipografías muy cuidadas que imitan a la perfección el diseño oficial de cada servicio. Haces clic pensando que vas a descargar la app que necesitas y acabas en una página de GitHub aparentemente oficial que distribuye el malware disfrazado como la aplicación original. Bastante elaborado, todo hay que decirlo.
Pero aquí viene lo interesante: cuando Apple añadió detección específica para este tipo de amenazas en Gatekeeper (su sistema de protección integrado), los atacantes no se quedaron de brazos cruzados. Desarrollaron una técnica nueva que esquiva completamente estas protecciones y que, francamente, es bastante astuta.
La nueva modalidad se presenta como un CAPTCHA de esos que todos conocemos, supuestamente para verificar que no eres un bot. Te pide que copies una cadena de texto y la pegues en el Terminal de macOS. El problema es que esa cadena no es precisamente inocente: contiene comandos que descargan e instalan el archivo .dmg malicioso sin que Gatekeeper pueda hacer nada para evitarlo. Los investigadores llevan avisando de esta técnica desde hace casi dos años, pero por lo visto sigue siendo efectiva.
Y es que Atomic Stealer no es precisamente nuevo en el panorama de las amenazas para Mac. De hecho, ya hemos visto casos anteriores donde malware para macOS se hacía pasar por una supuesta versión de GTA VI para robar credenciales y contraseñas de los usuarios. Los métodos cambian, pero el objetivo sigue siendo el mismo: hacerse con nuestros datos.
Este tipo de amenazas no son casos aislados en el ecosistema de Apple. Hace unos meses saltaron a la luz vulnerabilidades en aplicaciones de Microsoft para macOS como Teams y Office que permitían el acceso no autorizado a webcams y micrófonos. Y si eso no fuera suficiente, un informe posterior reveló que miles de aplicaciones de iOS y macOS habían estado vulnerables a ataques de inyección de código malicioso.
El problema con Atomic Stealer es que sigue siendo tremendamente efectivo pese a todas las alertas y avisos. Los informes más recientes documentan su uso contra usuarios de Homebrew, una herramienta que es prácticamente indispensable para cualquier desarrollador que trabaje con macOS. Que siga funcionando después de tanto tiempo dice bastante sobre su sofisticación.
La recomendación, como siempre en estos casos, es bastante directa: descarga software únicamente desde las páginas web oficiales de los desarrolladores. Si ves un anuncio que te resulta interesante, abre una nueva pestaña, ve directamente al sitio oficial y descarga desde ahí. Los enlaces promocionales en los resultados de búsqueda pueden llevarte a cualquier sitio, y no siempre es donde quieres ir.