Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

¿Por qué OpenAI vende ChatGPT Basketball?

Una falla en el intercambio de tokens n8n podría permitir a un atacante iniciar sesión como usuario de otro emisor

El nuevo malware TELEPUZ se propaga a través de ClickFix, roba datos y ejecuta comandos

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»El nuevo ladrón ClickLock para macOS elimina aplicaciones cada 210 milisegundos hasta que la víctima ingresa la contraseña
Identidad

El nuevo ladrón ClickLock para macOS elimina aplicaciones cada 210 milisegundos hasta que la víctima ingresa la contraseña

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 16, 2026No hay comentarios8 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

ClickLock Stealer, un nuevo ladrón de información de macOS, responde a la negación de la víctima eliminando aplicaciones en un bucle hasta que entreguen sus contraseñas de inicio de sesión. Llega como un comando pegado en una terminal, solicita una contraseña detrás de un cuadro de diálogo falso del sistema y, si la víctima cancela, instala dos LaunchAgents y sale silenciosamente.

La próxima vez que inicie sesión, Finder, Dock, Spotlight, Terminal, Activity Monitor y los principales navegadores comenzarán a bloquearse cada 210 milisegundos, dejando un único cuadro de contraseña en el escritorio congelado por hasta 83 horas. Una vez que lo ingrese, la máquina le entregará su llavero, sus credenciales del navegador y su billetera criptográfica.

La telemetría del Grupo IB ha contabilizado al menos 100 objetivos en 33 países desde mayo, más de la mitad de ellos en Europa. Los analistas sospechan que el malware aún está en desarrollo según su estructura de código. El script del orquestador subido a VirusTotal el 9 de junio no fue detectado cuando lo analizó Group-IB.

Y los analistas no pudieron encontrar la puerta de entrada. Estos tienen toda la cadena de carga útil y ni una sola página de señuelo. La lista del COI incluye tres hosts de carga útil comprometidos, pero ningún dominio señuelo. El diseño de las páginas de destino, los dominios que las sirven y lo que dirige el tráfico hacia ellas no están verificados.

Una vez ejecutados, los operadores aún tendrán contraseñas de inicio de sesión de macOS verificadas, claves AES de almacenamiento seguro de Chrome, archivos ZIP que contienen credenciales del navegador y cookies, almacenamiento de extensión de billetera cifrada, archivos de billetera de escritorio, bóvedas de administrador de contraseñas, llaveros, historial de shell y credenciales guardadas del servidor de FileZilla.

Las claves de almacenamiento seguro persisten. Las contraseñas y las cookies almacenadas en el disco de Chrome están cifradas, por lo que los datos de inicio de sesión y las cookies se descifran fuera de línea cada vez que llegan a la máquina del atacante. El consejo de Group-IB para cualquiera que haya hecho esto es cancelar cualquier sesión activa del navegador, tratar todas las contraseñas, cookies y claves de billetera guardadas como desaparecidas y cambiarlas.

¿Quieres seguir ahora o la próxima vez que inicies sesión?

Los usuarios que rechazan no son casos especiales. Son el propósito del diseño. Si cancela el primer cuadro de diálogo, el script colocará com.authirity.plist y com.chromer.plist en ~/Library/LaunchAgents/ y saldrá.

El primero activa un bucle Kill de 210 ms hasta que se alcanza la contraseña. El segundo dispara su propio bucle Kill cada 0,2 segundos durante hasta 3.000.000 de segundos, o aproximadamente 34,7 días. Durante ese tiempo, un proceso en segundo plano consulta el llavero de Chrome en busca de claves de almacenamiento seguro cada 0,2 segundos.

Esta consulta muestra un mensaje real de macOS y un bucle mantiene el escritorio como rehén hasta que la víctima lo apruebe. Activity Monitor y Terminal están incluidos en ambas listas de eliminación. En el tercer ciclo, NotificationCenter se detiene durante 6 horas, por lo que no se muestran las alertas de Gatekeeper. Si el terminal no tiene acceso completo al disco, el orquestador abre la configuración del sistema en el panel derecho y guía a la víctima a través de los pasos para otorgarlo.

La interfaz es ClickFix. Group-IB califica esto con alta confianza, pero nunca lo habíamos visto antes. El script toma RAY_ID como primer argumento y comienza mostrando un banner CAPTCHA falso de Cloudflare en la barra de progreso, recorriendo 12 líneas de estado durante 10 segundos. Tampoco nada. Estos existen para tranquilizar a las personas que acaban de pegar un comando en una terminal.

Debajo de eso, script.sh desactiva las interrupciones del teclado, oculta el cursor y recupera cuatro cargas útiles de dos sitios comprometidos. Conecte los dos tubos directamente al bash. Los dos aterrizarán en un $HOME/.cacheb/ oculto. La pregunta suave es un cuadro de diálogo de osascript que lleva un ícono de Apple descargado y el nombre de usuario real de la víctima, y ​​todo lo ingresado se verifica primero con dscl /Local/Default -authonly, por lo que solo vale la pena enviar una contraseña válida.

Muy pocas novedades. Microsoft documentó la misma validación dscl en SHub Stealer en mayo, junto con AMOS y MacSync en la misma campaña macOS ClickFix. La persistencia de Telegram exfil y LaunchAgent es repetitiva.

El goyim de puerta trasera es aproximadamente una copia del 80 % del script de implementación pública de GSocket, el conjunto de herramientas de túnel de código abierto de The Hacker’s Choice. Sus autores comercializan el componente gs-netcat como una puerta trasera cifrada que no requiere su propio servidor C2. En su lugar, monta el relevo.

Group-IB rastreó la copia hasta el relé del operador en gsnc(.)eu:67 y utilizó un binario obtenido del propio gsocket.io. La carga útil del ladrón reside en tres dominios comprometidos con reputaciones limpias, uno de los cuales es un sitio de WordPress pirateado, y su carga se filtra a través de tres robots de Telegram. Group-IB confirmó que no existe una infraestructura de comando y control dedicada.

En macOS, el binario se coloca en ~/Library/Application Support/iCloudsync como iCloud, y el proceso se ejecuta como SystemUIServerl, un carácter eliminado del proceso real.

Apple ya está cerrando esta puerta

macOS 26.4 se envió a finales de marzo. Esto le avisará cuando Terminal detecte actividad de pegado sospechosa y bloqueará por completo cualquier cosa que reconozca como malware conocido. Esta es una mitigación que Microsoft señala como una solución directa a la distribución de ClickFix.

La propia documentación de Apple muestra cuánto margen de maniobra queda para esta función. Esta advertencia solo ocurre si no usa Terminal con regularidad y viene con un botón «Pegar de todos modos». Un bloqueo duro requiere que macOS ya reconozca el malware.

En cuestión de semanas, dos campañas pasaron por esa sala en direcciones opuestas. En abril, Jamf Threat Labs documentó cómo evitar el pegado por completo. Esto utiliza la URL applescript:// para abrir el editor de secuencias de comandos con la carga útil precargada y evita que se realicen comprobaciones. Thijs Xhaflaire, de Jamf, escribe: «Cuando una puerta se cierra, los atacantes encuentran otra». El otro es ClickLock. En su lugar, conserve la pasta y esté diseñada para personas.

Un bucle forzado es la parte sin una historia de portada. Group-IB no evita ráfagas de pkill y killall de menos de un segundo para Finder, Dock, SystemUIServer y NotificationCenter. «Este comportamiento es típico del malware de interacción forzada y no tiene ningún caso de uso legítimo».

Los conjuntos de señales restantes son:

seguridad find-generic-password osascript invocado desde un script de shell en lugar del navegador Genera un cuadro de diálogo de contraseña con un icono recuperado de /tmp/ Lectura masiva del directorio de perfil del navegador y tráfico posterior a api.telegram.org URL canalizadas a bash que terminan en .jpg, .txt o .css LaunchAgent a ~/Library/LaunchAgents/ mediante un proceso de shell y se combinan con la carga de launchctl

Si su Mac comienza a eliminar sus propias aplicaciones y deja un cuadro de contraseña en la pantalla, no ingrese su contraseña. La página de confirmación no requiere terminal. Las comprobaciones de Cloudflare se realizan dentro del navegador, que es el objetivo de Cloudflare.

Group-IB dice que se mantenga presionado el botón de encendido hasta que la máquina se apague, luego se inicie en modo seguro, y ese paso de Cambio al inicio es solo de Intel. En Apple Silicon, mantenga presionado el botón de encendido hasta que vea «Cargando opciones de inicio», seleccione Volumen, luego mantenga presionada la tecla Mayús y haga clic en «Continuar en modo seguro».

La limpieza es desigual. El módulo ladrón descarga su propio LaunchAgent, falsifica marcas de tiempo de ~/Movies para interrumpir el análisis de la línea de tiempo y se elimina a sí mismo. Los goyim no lo hacen. Una vez que haya completado el ciclo, ingrese su contraseña y observe cómo regresa el escritorio, lo que le queda es una máquina de apariencia normal con un shell inverso, que se ejecuta como SystemUIServerl desde ~/Library/Application Support/iCloudsync.

El operador ClickLock se lanzó en mayo, un mes después de que existiera la advertencia, y fue creado para pegar. El informe no dice si alguno de los objetivos del Grupo-IB fue testigo de ello.

Hacker News ha solicitado a Group-IB un desglose de las versiones de macOS detrás de estos objetivos y actualizará este artículo si recibimos una respuesta.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleMás de 20 sitios web gubernamentales fueron secuestrados y sirvieron como canales de ataque.
Next Article El nuevo malware TELEPUZ se propaga a través de ClickFix, roba datos y ejecuta comandos
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Una falla en el intercambio de tokens n8n podría permitir a un atacante iniciar sesión como usuario de otro emisor

julio 16, 2026

El nuevo malware TELEPUZ se propaga a través de ClickFix, roba datos y ejecuta comandos

julio 16, 2026

Más de 20 sitios web gubernamentales fueron secuestrados y sirvieron como canales de ataque.

julio 16, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

¿Por qué OpenAI vende ChatGPT Basketball?

Una falla en el intercambio de tokens n8n podría permitir a un atacante iniciar sesión como usuario de otro emisor

El nuevo malware TELEPUZ se propaga a través de ClickFix, roba datos y ejecuta comandos

El nuevo ladrón ClickLock para macOS elimina aplicaciones cada 210 milisegundos hasta que la víctima ingresa la contraseña

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.