El malware ClickFix apunta a usuarios de Mac con falsos CAPTCHA y alertas del sistema

¿Qué es la campaña de malware ClickFix para Mac?

La campaña de malvertising ClickFix para Mac puede haber terminado, pero eso no significa que el motor de fraude de clics utilizado para comprometer computadoras Mac vaya a desaparecer.

Originalmente una técnica de clickjacking utilizada para aprovechar la inercia de los usuarios al navegador y hacer que hicieran clic en anuncios obligándolos a pulsar un botón señuelo para completar una acción requerida, ClickFix fue reutilizado como un medio para distribuir infostealers como MacSync, Shub Stealor y AMOS Stealer, todos capaces de robar datos sensibles de las víctimas objetivo.

Los hackers detrás de ClickFix cambiaron su estrategia de engañar a los usuarios para descargar software potencialmente dañino en computadoras Windows a apuntar a usuarios de macOS mediante una campaña diferente que utiliza tácticas similares de ingeniería social.

En una publicación del blog Verdict, investigadores de seguridad @MalcolmH en Cyble Security —quienes han estado siguiendo el desarrollo de ClickFix y su herramienta complementaria original para Windows, BleedEasy, en un proyecto paralelo llamado BleedMac— detallaron nuevos aspectos de la campaña lanzada desde sitios web comprometidos.

Identificados por el nombre del sitio como parte de una “página insegura”, “advertencia”, “alerta” o “mensaje de error”, los visitantes de estos sitios pueden notar una notificación o ventana emergente que dice que “ha ocurrido un error del sistema”, “el espacio en disco está lleno”, “error de archivo temporal” o algo similar. Luego, el usuario es guiado mediante instrucciones paso a paso como “Confirmar”, “Permitir”, “Sí”, “No” o “Cancelar” para resolver el supuesto error.

Si el visitante hace clic en la opción “Permitir” de la ventana emergente que pregunta si desea “forzar reinicio”, el navegador abre una página web que muestra un candado junto a un botón “Reiniciar ahora”. Si el visitante decide no forzar el reinicio de la computadora, aparece un mensaje indicando que hay “espacio insuficiente en disco”, solicitándole eliminar ciertas carpetas para liberar espacio. Si el visitante elimina parte o todo el contenido de la carpeta “Library/Caches”, entonces se le solicita reiniciar la computadora. Si la computadora no reinicia, se le indica al usuario que elimine la carpeta “Caches” contenida dentro de su carpeta “Applications”.

Según los investigadores de Cyble, la campaña ha estado activa desde abril y mayo de 2026, y los dos grupos identificaron un total de aproximadamente 2.800 sitios web afectados que distribuían la herramienta ClickFix.

Cómo ClickFix y Atomic Stealer infectan Macs

Una vez que una víctima visita un sitio web comprometido o malicioso, la página imita una actualización del navegador abriendo uno de varios cuadros emergentes que contienen un código para “descargar la última versión”. Al hacer clic, el cuadro emergente copia un script malicioso al portapapeles, que luego debe pegarse en una terminal usando Cmd+V. En este punto, el usuario ha aprobado sin saberlo permisos a nivel de sistema para que el script se ejecute.

Este script utiliza codificación Base64 para ocultar su contenido y luego ejecuta un comando curl para descargar un archivo install.sh desde el servidor C2, cargando el script en memoria sin activar las comprobaciones de Gatekeeper.

Luego, el script solicita la contraseña root del usuario: “Please enter System Password:” (“Por favor ingrese la contraseña del sistema:”) — repitiendo la solicitud hasta que se ingrese una contraseña. Esto le da al malware un amplio acceso al sistema. Después de ingresar la contraseña, el script crea un archivo de registro en /var/tmp y ejecuta un AppleScript que abre un documento prellenado de Script Editor que contiene el malware Atomic Stealer.

Atomic Stealer luego coloca sus módulos en /usr/local/lib, establece persistencia creando un alias hacia launchservices.db en /Library y ~/Library, e inicializa sus componentes principales mediante una aplicación oculta que explota múltiples frameworks de Apple para mantener una conexión persistente con el servidor C2.

Paso a paso: cómo funciona el ataque del falso reCAPTCHA

Este ataque reemplaza el reCAPTCHA de Google con su propia versión “falsa” exclusivamente para usuarios de macOS, pidiendo a los usuarios que “escriban un código” porque “la verificación ha fallado”. Hacer clic en “verificar” inicia una reacción en cadena que termina con la instalación encubierta de malware de clickjacking en el dispositivo.

Primero, las víctimas llegan a una página llena de mensajes estilo reCAPTCHA que afirman que su dispositivo “es sospechosamente similar al robot policía de internet y puede requerir verificación adicional para continuar”. Aparece una ventana con un botón “Permitir”. Si se presiona, una cadena de script se copia al portapapeles y la página instruye abrir Terminal y pegarla.

La página le dice a la víctima: “Este comando verificará que usted es un ser humano y no un robot” — cuando en realidad están dando a los hackers control total sobre su Mac.

El script descarga un archivo .sh desde un dominio vinculado a la operación criminal. Ese archivo contiene un shell script que descarga un archivo de script comprimido que contiene otro script adicional junto con un script en Python. El shell script principal verifica paquetes instalados, establece permisos y crea una carpeta en /usr/local/bin que contiene el script Python. El script Python establece un launch daemon persistente para que el malware se ejecute cada vez que la computadora inicia.

El malware intenta robar cookies de Google Chrome, Microsoft Edge, Mozilla Firefox y Safari, grabar audio usando QuickTime y los frameworks Hidden Camera, y ejecuta la aplicación ScreenTDC, conocida por formar parte de una campaña de malware de clickjacking.

Qué ocurre después de pegar el código malicioso en Terminal

Cuando el primer script se ejecuta, todos los componentes del malware se activan en memoria; en este punto no se escriben archivos en disco. Luego, el script desactiva las protecciones de seguridad integradas de Mac mediante scripts launchdaemon que se ejecutan como root.

Después de desactivar las protecciones, el script inicia una solicitud de red hacia un servidor C2 para identificar la Mac afectada y asignarle un identificador único. El malware ClickFix consta de dos partes — helper y update — ambos binarios Mach-O codificados en base64 y comprimidos con gzip. Los binarios imitan shells estándar de macOS, interceptan señales del shell, redirigen la salida para que el malware no termine incluso cuando se fuerza su detención y eliminan sus propias huellas del sistema.

El malware recopila contenido del portapapeles, pulsaciones de teclas, actividad de red, ubicaciones de billeteras cripto, caché y cookies del navegador, detalles de hardware, aplicaciones instaladas e información del sistema operativo. Todos los datos recopilados se cifran y se envían a un servidor C2 controlado por los atacantes. El malware también restaura sus nombres de archivo originales y directorios de correo electrónico después de dejar de ejecutarse, dando a los atacantes una puerta trasera persistente.

Por qué este ataque engaña incluso a usuarios cuidadosos de Mac

Para ocultar su verdadera naturaleza, el malware se disfraza con código familiar mientras realiza tareas desconocidas, utilizando técnicas de ofuscación que no revelan inmediatamente un propósito. Luego, la campaña usa una avalancha de ventanas emergentes para presionar a las víctimas a actuar rápidamente; por ejemplo, un falso CAPTCHA que obliga a elegir entre aceptar una reparación o cancelar. La presión garantiza que las víctimas no busquen más información.

La máquina infectada se convierte en una computadora zombie que permanece bajo el control del ciberdelincuente detrás de la campaña. Las personas que operan estas botnets pueden vender partes de la infraestructura a otros actores maliciosos para usarla en campañas dirigidas.

Esta campaña en particular combina ingeniería social con optimización SEO para mostrar resultados que parecen legítimos a los objetivos, mientras ejecuta anuncios en las páginas de resultados de búsqueda para distraer a los usuarios del daño que se está causando.

Señales de que tu Mac podría estar infectada con Atomic Stealer

Si experimentas alguno de estos síntomas, tu Mac podría estar infectada con Atomic Stealer. Ejecuta un análisis completo del sistema con un antivirus confiable para verificar si hay malware.

Una señal temprana común es una lentitud inusual que no mejora después de reiniciar. Mientras se ejecuta un análisis completo del sistema, el malware puede seguir activo: varios archivos como diskimage, disklabel y dtracevar.db que pertenecen a Atomic Stealer pueden continuar existiendo incluso después del análisis. Varios procesos también pueden seguir ejecutándose en segundo plano: procesos helper, updater y osascript podrían persistir y consumir CPU y memoria. Aunque estos procesos no infectan directamente tu sistema, indican que los restos del malware siguen instalados.

Formas seguras de verificar reCAPTCHA sin arriesgar malware

Los reCAPTCHA legítimos funcionan haciendo clic en casillas y mirando imágenes: sin escribir comandos ni descargar nada. El malware ClickFix logró introducir comandos en el proceso de verificación, permitiendo luego que fuera secuestrado.

Los archivos que instala ClickFix se llaman “fix” y “fix1”, y la persistencia se logra mediante launchservices. A pesar de sus intentos de permanecer sin ser detectado, las Macs son sensibles al malware por diversas razones, incluyendo XProtect integrado de Apple y el hecho de que el malware clickfix es identificable públicamente como malicioso mediante escáneres en línea y la Apple Threat Intelligence Platform.

Al momento de escribir esto, seguía siendo uno de los pocos VPN líderes que todavía recomendaba a los usuarios habilitar reCAPTCHA en su sitio web. [Surfshark](https://surfshark.com) e [IPVanish](https://www.ipvanish.com) tienen ambas versiones de verificación en sus sitios web, pero sus aplicaciones solo solicitan permiso para habilitar reCAPTCHA, sin pedir a los usuarios realizar una verificación real.

Algunos consejos simples de seguridad para tu Mac (2026)

* No ignores las actualizaciones de macOS. En serio. La última versión de macOS viene con configuraciones más estrictas de Gatekeeper, mejor detección de malware y bloqueo integrado contra amenazas. Si ves Private Cloud Keychain como opción, actívala: vale la pena.

* Asegúrate de que Gatekeeper esté realmente activado. Ve a Preferencias del Sistema > Seguridad y Privacidad > pestaña Details, luego selecciona “Permitir desde App Store y desarrolladores identificados”. Solo eso evita que aplicaciones aleatorias y no verificadas se ejecuten en tu máquina sin tu autorización.

* Considera usar un antivirus en tiempo real. Mira, las Macs no son a prueba de balas: bastante buenas, sí, pero no invencibles. Un antivirus decente en tiempo real analizará archivos en el momento en que los descargues o abras. La mayoría de estas herramientas se agregan silenciosamente a los elementos de inicio, así que no tienes que preocuparte por iniciarlas. Simplemente están ahí, haciendo su trabajo en segundo plano.