
Un equipo de investigadores en seguridad ha identificado una nueva forma de amenaza para macOS, dirigida principalmente a usuarios europeos y operando desde mayo de 2026. Denominada ClickLock, esta operación se distingue más por su mecanismo de ingeniería social que por ser un malware tradicional: mantiene constantemente una ventana de inicio de sesión emergente en el dispositivo de la víctima hasta que esta se rinde y proporciona credenciales.
El comportamiento de la amenaza es notable por su agresividad: cada 210 milisegundos, el proceso de bloqueo termina aplicaciones clave del sistema (Finder, Dock, Terminal, entre otras), lo que degrada la experiencia del usuario y facilita la acción de la ventana emergente de contraseña. Este bucle persiste durante más de tres días continuos, o hasta que la víctima accede y entrega las credenciales requeridas.
Una vez obtenidas las credenciales, la amenaza inicia la fase de exfiltración de datos. El atacante puede acceder a información de navegadores (Chrome, Firefox, Brave y otros), contraseñas guardadas, cookies, datos de autocompletado y otros metadatos de navegación. También se recolecta información relacionada con billeteras y extensiones de criptomonedas, datos cifrados de billeteras que podrían ser vulnerables a ataques fuera de sitio, contraseñas almacenadas en gestores de contraseñas y direcciones de criptomonedas en diferentes cadenas (EVM, Bitcoin, Solana, TRON, TON, Stacks). Adicionalmente, se recogen historiales de terminal, configuraciones de FTP de FileZilla y datos de servidores recientes, junto con información básica del dispositivo.
Todos estos datos se empaquetan en un archivo .ZIP y se exfiltran a través de la API de Telegram Bot. El objetivo parece ser la recopilación de un conjunto amplio de credenciales y datos sensibles para su uso posterior o venta en mercados ilícitos.
La campaña, denominada ClickFix para la distribución inicial, ha estado activa al menos desde mayo de 2026 y ha sido detectada en 33 países, con una concentración notable en Europa. Un investigador presentó una variante a VirusTotal a principios de junio, pero, según Group-IB, permaneció sin detección por parte de proveedores de seguridad durante un tiempo.
Aunque el registro sugiere un actor o actores relativamente no identificados, la tecnología empleada es principalmente una técnica de ingeniería social combinada con una cadena de exfiltración de datos bien orquestada. La advertencia para usuarios y organizaciones es clara: mantener prácticas sólidas de seguridad, revisar permisos de aplicaciones, vigilar ventanas de credenciales y utilizar soluciones de protección que detecten comportamientos anómalos y actividades de red inusuales, especialmente aquellas que puedan indicar recopilación o envío de datos sensibles a través de canales como APIs de mensajería.
Este análisis ofrece una visión general de ClickLock y sus vectores de ataque, con énfasis en la necesidad de educación del usuario y fortalecimiento de controles de seguridad para reducir la exposición ante este tipo de amenazas macOS.
from Latest from TechRadar https://ift.tt/f5wJ1Id
via IFTTT IA