← Inicio

ClickLock: nuevo malware para macOS obliga a usuarios a revelar contraseñas de inicio de sesión

1) El hecho Investigadores de Group-IB descubrieron un nuevo malware para macOS llamado ClickLock que finaliza todos los procesos visibles para obligar a los usuarios a ingresar su contraseña de inicio de sesión del sistema. El malware roba criptoactivos, credenciales de inicio de sesión, datos de gestores de contraseñas, información del navegador y datos de autenticación de macOS, además de instalar una puerta trasera persistente para acceso remoto continuo a los sistemas infectados. El script malicioso ha infectado al menos 100 sistemas en 33 países desde mayo de 2026.

2) Contexto ClickLock es un script shell analizado por investigadores de Group-IB tras ser subido a VirusTotal el 9 de junio de 2026, donde permanecía indetectable por todos los proveedores de seguridad disponibles en la plataforma en ese momento. La infección comienza con un ClickFix — una página falsa de verificación humana de Cloudflare con barra de progreso animada que se muestra en la Terminal de macOS. Durante el ataque, las interrupciones de teclado se deshabilitan, el cursor del terminal se oculta y los módulos de robo se descargan en segundo plano. El NotificationCenter de macOS se suprime durante aproximadamente seis horas, desactivando todas las notificaciones que podrían exponer el ataque a la víctima.

3) Análisis ClickLock representa una evolución preocupante del malware para macOS por tres razones fundamentales. Primero, no requiere exploits ni privilegios elevados — opera mediante ingeniería social y bucles de interacción forzada, por lo que cualquier usuario puede ser infectado independientemente de la versión de macOS o la configuración de seguridad. Segundo, el mecanismo de coacción es brutalmente eficaz: cancelar el diálogo de contraseña desencadena la terminación de procesos críticos (Finder, Dock, Terminal, navegadores, Configuración del Sistema, Monitor de Actividad) cada 210 milisegundos durante un máximo de 83 horas, mostrando solo la pantalla de contraseña hasta que la víctima cumpla. Un segundo LaunchAgent ejecuta un mecanismo de coacción separado que solicita autorización de Keychain para la clave de Safe Storage de Chrome cada 200 milisegundos durante casi 35 días. Tercero, todos los módulos se autodestruyen tras la ejecución, dejando solo el backdoor GSocket como único vestigio persistente en el sistema infectado.

4) Qué observar • La indetectabilidad en VirusTotal subraya la necesidad de soluciones de seguridad específicas para macOS, tradicionalmente menos priorizadas que las de Windows. • Los usuarios de criptomonedas son objetivos primarios — wallets como MetaMask, Phantom y Ledger están en la mira. • Las organizaciones con empleados en macOS deben capacitar al personal para no ejecutar comandos en Terminal desde instrucciones de sitios web. • Si se solicita ingresar la contraseña cuando el sistema parece no responder, Group-IB recomienda forzar el apagado manteniendo presionado el botón de encendido e iniciar en Modo Seguro para recuperar el sistema.

Fuente: BleepingComputer