Las falsas actualizaciones de navegador se han convertido en una de las tácticas más utilizadas por los ciberdelincuentes, y ahora, con la aparición de FrigidStealer, los usuarios de Mac tienen una nueva amenaza de la que preocuparse. Este malware, diseñado para robar información sensible, es parte de una campaña más amplia impulsada por dos grupos de ciberdelincuentes: TA2726 y TA2727.
Investigadores de Proofpoint han descubierto que estos grupos están utilizando JavaScript malicioso para mostrar notificaciones falsas de actualización, lo que hace que sus ataques sean cada vez más difíciles de rastrear. Pero el peligro no se limita solo a macOS: la misma campaña distribuye malware para Windows y Android, ampliando su alcance a una gran variedad de víctimas.
Falsas Actualizaciones de Navegador: Una trampa cada vez más peligrosa
Los ciberdelincuentes han perfeccionado una técnica clásica: las actualizaciones falsas de navegador. En esta nueva campaña, los atacantes hackean sitios web legítimos e inyectan código malicioso en sus páginas. El resultado: una notificación convincente que te dice que necesitas actualizar tu navegador para seguir navegando.
Pero aquí viene la trampa: en lugar de una actualización real, al hacer clic en el botón descargarás un archivo malicioso que puede infectar tu dispositivo. Para hacer el engaño aún más creíble, los atacantes utilizan un sistema de distribución de tráfico (TDS) que analiza factores como tu ubicación, sistema operativo y tipo de navegador para mostrarte una alerta lo más realista posible.
Avisos de actualizaciones falsas en sitios web comprometidos
Si usas Windows, caer en esta trampa significa descargar un instalador MSI que mete en tu sistema Lumma Stealer o DeerStealer. Si tienes un Mac, te tocará un archivo DMG con el nuevo malware FrigidStealer. Y si estás en Android, el engaño viene en forma de un APK que instala el troyano bancario Marcher.
En el caso de Mac, el malware no se ejecuta automáticamente. Para que funcione, el usuario debe iniciar la instalación manualmente, lo que implica hacer clic derecho en el archivo, seleccionar "Abrir" y luego ingresar su contraseña. Esto es necesario para burlar la protección de Gatekeeper, el sistema de seguridad de macOS. En otras palabras, los atacantes necesitan que la víctima colabore sin darse cuenta.
Podría interesarte leer: WarmCookie: Cuidado con las Falsas Actualizaciones de Navegador
FrigidStealer: El malware que roba datos en Mac sin que lo notes
FrigidStealer está desarrollado en Go y utiliza el marco WailsIO para que su interfaz parezca confiable, engañando a los usuarios y colándose en sus sistemas.
Una vez dentro, su objetivo es claro: robar información sensible. FrigidStealer extrae cookies, credenciales de inicio de sesión y archivos de contraseñas almacenados en Safari y Chrome. Pero no se detiene ahí. También busca credenciales de billeteras criptográficas en las carpetas de Escritorio y Documentos, lee Notas de Apple en busca de contraseñas o datos financieros y recopila documentos, hojas de cálculo y archivos de texto del directorio del usuario.
Toda esta información robada se guarda en una carpeta oculta dentro del sistema, luego se comprime y finalmente se envía a un servidor de los atacantes en "askforupdate[.]org". En otras palabras, este malware no solo se infiltra silenciosamente en tu Mac, sino que también se lleva tus datos sin que te des cuenta.
Robo de datos confidenciales de macOS (Fuente: Proofpoint)
Conoce más sobre: Las 10 Mayores Ciberamenazas para iPhone en 2025
El robo de información: Una amenaza cada vez más grande
En los últimos años, los ataques para robar datos personales se han convertido en un negocio global que afecta tanto a usuarios comunes como a empresas. ¿El resultado? Fraudes financieros, violaciones de privacidad, filtración de datos e incluso ataques de ransomware que pueden costar millones.
Para evitar caer en estas trampas, la regla de oro es simple: no descargues ni ejecutes nada que un sitio web te pida, especialmente si se presenta como una actualización, un parche o incluso un captcha sospechoso.
Si ya fuiste víctima de un malware ladrón de información, cambia de inmediato todas tus contraseñas, sobre todo si usas la misma en varias cuentas (algo que, por cierto, nunca deberías hacer). Un solo descuido puede abrirle la puerta a los ciberdelincuentes.
