La campaña abusa del esquema de URL applescript:// para bypassear la nueva protección de Terminal en macOS 26.4. Usuarios son engañados con una falsa página de soporte de Apple.
Investigadores de Jamf Threat Labs identificaron una nueva variante de la técnica de ingeniería social ClickFix que abandona completamente Terminal como vector de ejecución en macOS. En su lugar, la campaña abusa del esquema de URL applescript:// para lanzar Script Editor directamente desde el navegador y entregar una variante de Atomic Stealer, el infostealer comercial también conocido como AMOS. El hallazgo demuestra cómo los adversarios adaptan rápidamente sus tácticas cuando los proveedores introducen nuevas contramedidas.
La técnica ClickFix tradicional instruía a las víctimas a copiar y pegar comandos maliciosos en Terminal, supuestamente para resolver problemas técnicos o realizar mantenimiento del sistema. Apple respondió en macOS 26.4 con una característica de seguridad que escanea los comandos pegados antes de su ejecución. Esta campaña, descubierta por Jamf a través de una detección conductual, representa la respuesta de los atacantes: cuando se cierra una puerta, encuentran otra. El análisis publicado por Jamf Threat Labs documenta el flujo completo del ataque.
El vector inicial consiste en una página web falsa con temática de Apple que promete ayudar a los usuarios a "recuperar espacio en disco en tu Mac". Las instrucciones paso a paso parecen consistentes con una guía legítima de mantenimiento del sistema. Sin embargo, al hacer clic en el botón "Execute", la página invoca el esquema applescript:// desde el navegador, lo que dispara un prompt solicitando permiso para abrir Script Editor. Una vez aceptado, el usuario se encuentra con una ventana de Script Editor pre-poblada con el script malicioso listo para ejecutar.
Este enfoque reduce la fricción para la víctima, en lugar de copiar comandos manualmente, es guiada desde una página web hasta un entorno de ejecución ya preparado. Script Editor, instalado por defecto en todos los Mac, tiene un historial documentado como mecanismo de entrega de malware, pero su uso en campañas ClickFix vía URL scheme representa una evolución notable. Dependiendo de la versión de macOS, el usuario puede o no recibir una advertencia adicional antes de permitir que el script se guarde y ejecute.
Atomic Stealer es un producto de suscripción vendido en mercados de criminales, diseñado para recopilar información del sistema y robar datos sensibles almacenados en Keychain, el gestor de contraseñas nativo de Apple. También extrae datos de autocompletado, contraseñas guardadas, cookies e información de tarjetas de crédito de navegadores, además de carteras de criptomonedas.
Los indicadores de compromiso relacionados con esta campaña han sido compartidos por los investigadores para que los equipos de seguridad puedan detectar actividad sospechosa en sus entornos.
Para organizaciones con flotas de dispositivos Apple en LATAM, esta campaña subraya la necesidad de monitorear no solo Terminal sino también la ejecución de scripts desde Script Editor y otros vectores de automatización nativos. Las soluciones EDR con capacidades de detección conductual ofrecen mejor protección contra estas variantes que evaden los controles tradicionales basados en firmas.
FUENTE ORIGINAL
Jamf Threat Labs↗CURADO POR
Johan Ricardo