Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

ModStealer: El Ladrón de Datos para MacOS que Esquiva tu Antivirus

Escrito por Jonathan Montoya | Sep 29, 2025 4:52:08 PM

Si trabajas con un Mac, programas a diario o manejas cripto, este nombre te interesa: ModStealer. Es un infostealer (ladrón de información) multiplataforma que ha irrumpido con fuerza y que apunta primero a macOS, pero también funciona en Windows y Linux. Lo grave no es solo lo que roba, sino cómo se cuela y cómo permanece sin que te enteres, incluso esquivando defensas nativas de Apple y muchas soluciones antivirus.

En TecnetOne te contamos, con palabras claras, qué hace, cómo te ataca y cómo protegerte a nivel personal y de empresa.

 

Qué busca ModStealer (y por qué probablemente te tiene en el radar)

 

Los operadores detrás de ModStealer saben dónde está el valor: desarrolladores y usuarios con cripto. Te pescan con ofertas de trabajo falsas, “recruiters” clonados y retos técnicos alojados en repositorios o webs muy pulidas. Cuando descargas el supuesto “brief” o ejecutas un “instalador” de una librería/tool… ahí entra el malware.

Una vez dentro, arrastra todo lo que le sirva para moverse como si fueras tú:

 

  1. Extensiones del navegador (más de 50, entre Chrome y Safari; atacar Safari sigue siendo poco común y por eso destaca).

 

  1. Wallets cripto en el navegador (frases semilla, llaves privadas, direcciones).

 

  1. Portapapeles (si copiaste una seed o un 2FA, mal asunto).

 

  1. Capturas de pantalla (para ver lo que haces sin permisos extras).

 

  1. LocalStorage, cookies y credenciales guardadas (sesiones de servicios, correos, Git, SaaS, banca…).

 

Con esto, un atacante se loguea donde tú te logueas, firma transacciones, intercambia direcciones de retiro sin que lo notes y levanta acceso a tus repos o a los sistemas de tu empresa.

 

El “truco” técnico que lo hace tan persistente en macOS

 

ModStealer no apuesta por trucos ruidosos. En macOS usa LaunchAgents a través de launchctl (herramienta nativa) para reanudar su ejecución en cada inicio de sesión. Es decir, se registra como si fuera un proceso del sistema totalmente legítimo.

 

  1. Crea ficheros discretos (por ejemplo, sysupdater.dat) en rutas de usuario.

 

  1. Añade un LaunchAgent en ~/Library/LaunchAgents/ con un nombre y un plist que “no canta” a primera vista.

 

  1. No toca elementos que muchos antivirus vigilan de manera prioritaria, por lo que pasa desapercibido.

 

Desde ahí, mantiene comunicación continua con su C2 (comando y control) para mandar lo que robe, recibir nuevas órdenes e incluso moverse lateralmente en redes corporativas si detecta la oportunidad.

 

Títulos similares: Atomic Stealer: Nueva versión cifrada ataca a Mac

 

¿Por qué es especialmente peligroso?

 

  1. Multiplataforma real: el mismo actor orquesta campañas para Mac, Windows y Linux. No son variantes sueltas; es un kit que permite atacar tu parque mixto sin reescribir medio malware.

 

  1. Evasión de defensas: al apoyarse en mecanismos del propio sistema (LaunchAgents), parece actividad normal y reduce alertas.

 

  1. Safari + extensiones: no muchos stealers lo hacen tan bien. Si usas Safari por “seguridad”, aquí no te salva solo el cambio de navegador.

 

  1. Robo de sesión: con cookies y tokens válidos, el MFA pierde fuerza; el atacante salta directamente a tus cuentas.

 

Señales de que podrías estar cayendo

 

  1. “Reclutadoresque llegan por LinkedIn/Telegram/Discord con salarios fuera de mercado y urgencia.

 

  1. Retos/briefs que te piden ejecutar scripts para “ver compatibilidad” o “preparar el entorno”.

 

  1. Instrucciones de click-to-fix(ClickFix) para copiar/pegar comandos en Terminal “para activar cámara/micrófono” en una entrevista técnica.

 

  1. Un plist desconocido en ~/Library/LaunchAgents/ que lanza un binario con nombres tipo “update”, “system”, “helper”…

 

  1. Wallet con movimientos que no hiciste o direcciones de retiro cambiadas “solas”.

 

  1. Sesiones abiertas en servicios desde ubicaciones que no reconoces.

 

Un comentario de un usuario de VirusTotal revela cómo fueron contactados por un reclutador falso que se hacía pasar por una cuenta conocida de LinkedIn (Fuente: Moonlock)

 

Cómo blindarte (como persona y como empresa)

 

Si eres usuario (dev, analista, trader…)

 

  1. Cero comandos ciegos. No pegues en Terminal lo que no entiendas. Si “falla la cámara”, reinicia navegador/Sistema y no sigas guías de terceros.

 

  1. Aísla pruebas: usa VM o un perfil de usuario separado sin llaves/credenciales; idealmente una máquina desechable para retos técnicos.

 

  1. Wallets fuera del navegador: hardware wallet para custodiar, y frases semilla nunca en el portapapeles.

 

  1. Revisa LaunchAgents: en ~/Library/LaunchAgents/ y ~/Library/LaunchDaemons/. Si ves algo raro, descónectate de internet, elimina el plist (y binario), reinicia y cambia contraseñas.

 

  1. Passkeys/MFA siempre, y rotación de tokens (revoca sesiones activas en Google, Apple ID, GitHub, etc.).

 

  1. Extensiones mínimas: desinstala las que no uses; verifica editor y permisos.

 

  1. Actualiza macOS y apps; Gatekeeper, XProtect y MRT ayudan si están al día. Activa Bloqueo de acceso a datos USB si no lo necesitas.

 

Si gestionas TI/Seguridad

 

  1. MDM en todos los Mac (Jamf, Kandji, Mosyle, Intune…). Forza:

 

  1. Bloqueo de LaunchAgents no firmados o en rutas no permitidas.

 

  1. Bloqueo de curl/osascript/python en contextos no aprobados (o alerta por uso interactivo).

 

  1. Lista blanca de extensiones y bloqueo de extensiones con permisos “read/write all”.

 

  1. EDR/XDR con reglas para persistence vía LaunchAgents, anomalías en ~/Library/, screenshots en bucle, raspado de llaveros, y exfil por HTTPS a dominios nuevos.

 

  1. Navegador corporativo endurecido o aislamiento de navegación (island/remote browser isolation) para separar sesiones privilegiadas de la web “abierta”.

 

  1. Segregación de identidades: que el dev no use su cuenta personal para nada corporativo. SSO con passkeys, tokens de corta vida y Just-In-Time para accesos sensibles.

 

  1. Monitoreo de señales cripto: si usuarios manejan activos, controla cambios de direcciones de retiro y firmas inusuales (alertas al vuelo).

 

  1. Playbooks DFIR específicos de infostealers: revocación masiva de cookies/tokens, rotación de secretos, invalidación de refresh tokens y re-enrolamiento MDM.

 

  1. Formación anti-ClickFix: simulaciones internas donde se “rompe la cámara” y se prueba si la gente pega comandos. Eso educa más que diez PDFs.

 

¿Y si ya sospechas infección?

 

  1. Aíslate (modo avión o fuera de la red corporativa).

 

  1. Exporta evidencias (plist, binarios sospechosos, hashes, conexiones salientes) sin ejecutarlos.

 

  1. Cambia contraseñas desde otro dispositivo limpio; revoca sesiones en todos los servicios.

 

  1. Restaura desde backup confiable o reinstala. Si sigues, arrastras persistencias.

 

  1. Rota llaves API, tokens de CI/CD, secretos de repos y credenciales de nube.

 

  1. Wallets: mueve fondos a una nueva seed creada en hardware wallet.

 

En TecnetOne podemos analizar tu Mac, sacar la persistencia, trazar el exfiltrado y cerrar huecos en horas.

 

Lee más: Acronis Backup for Mac: Copia de Seguridad en macOS

 

Cómo te ayuda TecnetOne

 

  1. Caza de amenazas (Threat Hunting) enfocada en LaunchAgents anómalos, abuso de launchctl, scraping de cookies/localStorage y exfil a dominios emergentes.

 

  1. Endurecimiento MDM para macOS: perfiles que bloquean persistencias comunes, controlan scripts, y firman/limitan extensiones.

 

  1. EDR/XDR gestionado 24/7 con reglas a medida para stealers modernos (Safari+Chrome).

 

  1. Respuesta a incidentes: limpieza, rotación de secretos, hardening post-brecha y acompañamiento hasta cerrar por completo el ciclo de ataque.

 

  1. Formación viva (anti-ClickFix, ingeniería social de “recruiters”, higiene de wallets, buenas prácticas de dev).

 

Quédate con esto

 

  1. ModStealer no es “otro malware” más: roba lo que te hace tú (cookies, tokens, seeds) y se camufla como un proceso del sistema.

 

  1. Entra por ofertas falsas y retos técnicos: si algo te pide copiar comandos, sospecha.

 

  1. Con aislamiento, MDM, EDR/XDR y disciplina de identidades, le cierras el paso.

 

¿Te ayudamos a revisar tus Macs y tus procesos de selección técnica para que ModStealer (y compañía) no tengan donde agarrarse? En TecnetOne estamos listos para blindarte.

 
Ver post completo