Los usuarios de Mac están siendo blanco de una nueva campaña de ataques conocida como ClickFix, donde los delincuentes se hacen pasar por guías o herramientas para solucionar problemas del sistema. Pero en realidad, están distribuyendo un malware peligroso.
Se trata de una variante del conocido Atomic macOS Stealer (AMOS), y ha sido desarrollada por el grupo de ciberdelincuentes llamado COOKIE SPIDER. Su objetivo es claro: robar datos sensibles, como contraseñas guardadas en navegadores, llaveros de macOS, notas de Apple e incluso billeteras de criptomonedas.
Según la firma de ciberseguridad CrowdStrike, que fue la primera en detectar esta amenaza (ahora identificada como Shamos), el malware ya ha intentado infiltrarse en más de 300 sistemas en todo el mundo desde junio de 2025.
El malware se está promocionando mediante una técnica conocida como ataques ClickFix, donde los usuarios son engañados a través de publicidad maliciosa o repositorios falsos en GitHub.
Resultados patrocinados maliciosos en la Fuente de búsqueda de Google
¿La trampa? Los ciberdelincuentes convencen a las víctimas para que copien y peguen comandos en la Terminal de macOS, supuestamente para instalar herramientas útiles o corregir errores del sistema. Pero en realidad, al ejecutar esos comandos, el usuario sin saberlo descarga e instala el malware en su dispositivo.
Esta técnica aprovecha la confianza del usuario y su deseo de solucionar un problema rápido, sin saber que está abriendo la puerta a una amenaza seria.
Repositorio malicioso de GitHub (Fuente: CrowdStrike)
Algunas de las páginas utilizadas en estos ataques (como mac-safer[.]com o rescue-mac[.]com) se hacen pasar por sitios legítimos que supuestamente ofrecen soluciones a problemas comunes de macOS. Estos sitios están diseñados para parecer confiables y, de hecho, apuntan a búsquedas reales que los usuarios podrían hacer cuando tienen fallas en su Mac.
Una vez dentro, te muestran instrucciones detalladas que te piden copiar y pegar comandos en la Terminal, con la promesa de que así vas a arreglar el problema. Pero lo que estás haciendo, en realidad, es ejecutar código malicioso que instala el malware en tu sistema.
Conoce más sobre: Nuevo Malware QuirkyLoader Distribuye AsyncRAT y Agent Tesla
En vez de solucionar algo, el comando que te piden ejecutar en Terminal en realidad oculta algo mucho más peligroso. Lo que hace es decodificar una URL escrita en Base64 (un método común para disfrazar direcciones web maliciosas) y luego conecta con un servidor remoto para descargar un script Bash malicioso. Ese script es el que se encarga de instalar el malware en tu Mac, sin que te des cuenta.
Instrucciones falsas para solucionar problemas de impresora en macOS (Fuente: CrowdStrike)
Una vez que el script malicioso se ejecuta, lo primero que hace es capturar tu contraseña de usuario. Con eso, tiene el acceso necesario para continuar con la infección.
Luego, descarga el ejecutable de Shamos (formato Mach-O) y lo prepara para que pueda ejecutarse sin que macOS lo bloquee. Para lograrlo, usa comandos como:
xattr, que elimina la etiqueta de cuarentena que normalmente advierte a macOS que el archivo puede ser peligroso.
chmod, que le da permisos de ejecución al archivo, permitiendo que el malware esquive Gatekeeper, la función de seguridad que evita que se ejecuten apps no verificadas.
En resumen: el sistema cree que todo está en orden, pero en realidad acaba de darle la bienvenida al malware sin poner resistencia.
Una vez que Shamos se ejecuta en tu dispositivo, comienza a trabajar en segundo plano para robar tanta información sensible como pueda. Pero antes de eso, primero se asegura de que no esté siendo analizado por investigadores o herramientas de seguridad.
Lo primero que hace es ejecutar comandos anti-VM, diseñados para detectar si el malware está funcionando dentro de una máquina virtual (algo común en entornos de análisis). Si determina que está en un entorno real, sigue adelante.
Luego, utiliza AppleScript para hacer un reconocimiento del sistema: recoge detalles sobre el host, analiza qué datos puede extraer y empieza su recolección.
Shamos va directo a por lo más valioso que tengas en tu Mac. Entre los datos que busca y recopila están:
Archivos de billeteras de criptomonedas
Datos del llavero de macOS
Notas almacenadas en Apple Notes
Contraseñas e información del navegador (como cookies, historial y tokens)
Una vez que tiene todo eso, comprime los datos en un archivo llamado out.zip y los envía al servidor del atacante utilizando el comando curl, que permite hacer peticiones web desde la terminal.
Según los expertos de CrowdStrike, Shamos no solo roba datos. También tiene la capacidad de descargar cargas maliciosas adicionales directamente en el directorio de inicio del usuario.
De hecho, se han visto casos en los que los atacantes han añadido:
Una versión falsificada de la app Ledger Live (usada para manejar criptomonedas)
Un módulo de botnet, lo que convierte tu Mac en parte de una red de dispositivos infectados
Esto convierte a Shamos en una amenaza mucho más compleja que un simple infostealer: también puede abrir la puerta a otros tipos de ciberataques, como ransomware o fraudes a gran escala.
Podría interesarte leer: Apple Corrige Nueva Vulnerabilidad de Día Cero Explotada en Ataques
La mejor defensa contra Shamos (y otros malwares similares) es no ejecutar nunca comandos en la Terminal que hayas encontrado en internet si no sabes exactamente qué hacen.
Esto incluye scripts que veas en redes sociales, foros, sitios web sospechosos o incluso repositorios de GitHub, ya que lamentablemente muchos ciberdelincuentes están utilizando esa plataforma para distribuir código malicioso disfrazado de herramientas útiles.
Cuando tengas un problema con tu Mac, evita hacer clic en los anuncios patrocinados que aparecen en los motores de búsqueda, ya que muchos de ellos están siendo utilizados para promover estas falsas soluciones.
En su lugar, opta por fuentes confiables como:
Los foros oficiales de Apple, que están moderados y verificados
La Ayuda integrada de macOS (abre Spotlight con Cmd + Espacio y escribe "Ayuda")
Recuerda: si algo suena demasiado bueno para ser verdad (“repara tu Mac en un clic”), probablemente sea una trampa.
Los ataques ClickFix se están convirtiendo en una táctica muy utilizada para distribuir malware. Básicamente, los atacantes se hacen pasar por guías técnicas o herramientas de solución de problemas y te piden que ejecutes comandos manualmente en la Terminal de tu Mac.
Estas campañas se están difundiendo incluso en:
Videos de TikTok, donde se muestran supuestos "trucos" para arreglar errores del sistema
Captchas falsos, que te hacen pensar que estás desbloqueando contenido legítimo
Soluciones falsas para errores de apps populares como Google Meet
Este tipo de ataque ha demostrado ser tan efectivo que ya ha sido usado en campañas de ransomware e incluso por grupos patrocinados por gobiernos.
Podría interesarte leer: TikTok está siendo Usado para Difundir Malware a Través de Videos
Shamos es una señal clara de que los usuarios de Mac ya no pueden confiar ciegamente en la seguridad de su sistema operativo. Hoy en día, los ciberdelincuentes están usando técnicas cada vez más sofisticadas para engañar incluso a usuarios con experiencia.
Si quieres mantener tu Mac a salvo, recuerda:
No ejecutes comandos que no entiendas
Evita enlaces y descargas de sitios sospechosos
Usa herramientas de seguridad confiables
Consulta fuentes oficiales cuando tengas un problema
Tu mejor protección es estar informado y actuar con precaución.