LastPass Alerta: Gestores de Contraseñas Falsos Infectan Mac

Cuando buscas un programa confiable para proteger tus contraseñas, seguramente lo último que imaginas es caer en una trampa diseñada para robarte información. Pero justo eso está ocurriendo. LastPass advirtió sobre una nueva campaña dirigida a usuarios de macOS, en la que ciberdelincuentes se hacen pasar por gestores de contraseñas y otros programas populares para distribuir malware.

En TecnetOne te explicamos en detalle cómo funciona esta amenaza, qué software suplanta y qué medidas puedes tomar para evitar convertirte en víctima.

¿Qué está pasando con los falsos gestores de contraseñas?

Los atacantes están creando repositorios fraudulentos en GitHub que aparentan ser oficiales. En ellos alojan supuestas versiones de aplicaciones conocidas, pero lo que realmente entregan es un malware llamado Atomic Stealer (AMOS).

Este programa malicioso es parte de un esquema de “malware como servicio” (MaaS), disponible en foros clandestinos por 1,000 dólares al mes. Su función principal es robar datos confidenciales de los equipos infectados, incluyendo credenciales, cookies, historial de navegación y hasta información de carteras de criptomonedas.

La campaña utiliza técnicas de posicionamiento en buscadores (SEO) para que los repositorios falsos aparezcan en los primeros resultados de Google o Bing, aumentando las posibilidades de engañar a los usuarios.

Resultado de búsqueda malicioso en Google (Fuente: LastPass)

¿Cómo funciona el ataque?

El ataque se presenta bajo la modalidad conocida como ClickFix, que se basa en engañar al usuario para que ejecute un comando en el Terminal de macOS sin saber lo que realmente hace.

El proceso es el siguiente:

1. Buscas un software como LastPass, 1Password o Notion en Google.

1. Entre los primeros resultados aparece un enlace a un repositorio de GitHub que parece legítimo.

1. Dentro de esa página encuentras un botón de “Descargar”.

1. El botón redirige a otra web con instrucciones que te piden copiar y pegar un comando en Terminal para instalar la aplicación.

1. Ese comando en realidad ejecuta una petición curl que descarga el archivo malicioso install.sh en tu carpeta /tmp.

A partir de ahí, el malware queda instalado en tu sistema y comienza a exfiltrar información de forma silenciosa.

Lee más: Alerta: Falsa app de LastPass en App Store

Programas y servicios suplantados

La campaña no se limita a LastPass. Según el informe de la compañía, los atacantes han creado versiones falsas de más de 100 aplicaciones y servicios, entre ellos:

1. Gestores de contraseñas como 1Password.

1. Plataformas de almacenamiento y trabajo colaborativo como Dropbox, Notion y Confluence.

1. Aplicaciones financieras como Robinhood, Fidelity y Gemini.

1. Herramientas creativas como Adobe After Effects y Audacity.

1. Clientes de correo como Thunderbird.

1. Incluso soluciones de ciberseguridad como SentinelOne.

El truco está en que todo parece legítimo: el repositorio en GitHub, la estética de la web y el supuesto proceso de instalación.

Repositorio de GitHub que afirma estar afiliado a LastPass (Fuente: LastPass)

¿Por qué es tan peligroso AMOS?

Aunque el Atomic Stealer ya era conocido en la comunidad de ciberseguridad, sus desarrolladores recientemente añadieron una funcionalidad aún más peligrosa: un backdoor que da acceso persistente y sigiloso al sistema comprometido.

Esto significa que, además de robar tus datos, los atacantes pueden mantener control sobre tu Mac a largo plazo, instalando otros programas maliciosos o usando tu dispositivo como punto de entrada hacia otras redes.

Página que alberga las instrucciones de ClickFix (Fuente: LastPass)

Ejemplos recientes de campañas similares

Los ataques tipo ClickFix no son nuevos en macOS. Investigaciones previas documentaron casos en los que se usaban anuncios falsos para promover soluciones inexistentes a supuestos problemas del sistema. Incluso se detectaron campañas que imitaban a Booking.com para atraer a las víctimas.

Lo que hace diferente a esta campaña es el alcance: más de 100 programas suplantados y una estrategia muy bien ejecutada para posicionarse en buscadores y atraer a miles de usuarios.

Conoce más: LastPass: Herramienta Esencial en la Gestión de Contraseñas

Cómo protegerte de esta amenaza

En TecnetOne siempre insistimos en que la prevención es tu primera línea de defensa. Frente a este tipo de ataques, hay varias medidas que puedes aplicar:

1. Descarga siempre desde sitios oficiales. Si buscas una aplicación, ve directamente a la web del proveedor. No confíes en resultados de buscadores sin verificar.

1. Desconfía de comandos que no entiendas. Nunca copies y pegues instrucciones en Terminal si no sabes exactamente qué hacen.

1. Verifica repositorios en GitHub. Los proyectos oficiales suelen estar verificados, con historial de contribuciones legítimas y gran número de seguidores.

1. Mantén tu Mac actualizado. Instala siempre las últimas actualizaciones de seguridad para macOS y tus aplicaciones.

1. Usa una solución de ciberseguridad confiable. En TecnetOne trabajamos con aliados que te ayudan a detectar intentos de exfiltración y comportamientos sospechosos.

1. Activa la autenticación en dos pasos. Si tus credenciales llegaran a filtrarse, una segunda capa de seguridad puede marcar la diferencia.

Qué hacer si sospechas que ya fuiste víctima

Si en algún momento copiaste un comando en Terminal desde un repositorio sospechoso, lo recomendable es:

1. Desconectar tu Mac de internet inmediatamente.

1. Ejecutar un análisis de malware con una solución de seguridad confiable.

1. Cambiar todas tus contraseñas desde otro dispositivo no comprometido.

1. Revisar movimientos en tus cuentas bancarias y de criptomonedas.

1. Considerar una reinstalación limpia de macOS, ya que el backdoor podría permitir persistencia aunque borres archivos visibles.

Reflexión final

Los ciberdelincuentes son cada vez más creativos y aprovechan cualquier oportunidad para engañar a los usuarios. En este caso, la combinación de SEO, GitHub falso y comandos de Terminal hace que sea muy fácil caer en la trampa si no tienes cuidado.

En TecnetOne creemos que la mejor forma de protegerte es con conciencia digital: aprender a detectar los signos de un posible fraude, verificar las fuentes y nunca ejecutar instrucciones que no entiendas.

La campaña de malware que suplanta a LastPass y a más de 100 programas populares es un recordatorio de que nadie está exento de riesgos, incluso los usuarios de Mac, que suelen sentirse más seguros frente a virus y amenazas.

La seguridad digital no se trata de miedo, sino de prevención inteligente. Si tomas las medidas adecuadas, puedes seguir aprovechando tu Mac al máximo sin convertirte en un blanco fácil para los atacantes.