Los ciberdelincuentes aprovechan anuncios patrocinados y sitios falsos para distribuir malware dirigido a usuarios de criptomonedas.
Anuncios patrocinados en Google y X están siendo usados para distribuir aplicaciones maliciosas.
Este malware apunta al llavero de macOS para robar credenciales de usuarios de criptomonedas.
Los usuarios de Apple que almacenan o gestionan criptomonedas enfrentan una nueva amenaza de ciberseguridad. Investigadores de Jamf Threat Labs, es el equipo de investigación de ciberseguridad, descubrieron una campaña que distribuye una versión falsa de la aplicación de código abierto Maccy con el objetivo de instalar PamStealer, un malware diseñado para robar contraseñas, credenciales y claves de wallets de criptomonedas.
De acuerdo con el informe de la firma, los atacantes utilizan un sitio web que imita al oficial de Maccy, un gestor de portapapeles para macOS gratis, para convencer a las víctimas de descargar una imagen de disco maliciosa. Al abrir el archivo, este muestra instrucciones para ejecutarlo desde el Editor de Scripts de Apple, mientras mantiene oculto el código malicioso que inicia la infección.
Una vez en el sistema, el malware verifica la contraseña de inicio de sesión del usuario mediante los Módulos de Autenticación Conectables (PAM) de macOS. Posteriormente, descarga una segunda carga útil desarrollada utilizando herramientas nativas del sistema operativo, una técnica que le permite reducir las posibilidades de ser detectado por los programas de seguridad.
El malware también genera una clave a partir de información del dispositivo, como la arquitectura del procesador, la configuración regional, la distribución del teclado y la zona horaria. Con ella desbloquea una configuración cifrada que contiene las instrucciones necesarias para continuar el ataque.
El malware busca acceder a credenciales y wallets de criptomonedas
Si la infección tiene éxito, un malware puede sustraer contraseñas almacenadas en los navegadores, datos del llavero de macOS, información copiada en el portapapeles y credenciales relacionadas con wallets de criptomonedas. Además, establece persistencia en el equipo y envía los datos robados a un servidor remoto mediante comunicaciones cifradas.
Como parte del ataque, el programa también muestra una falsa ventana a un explorador de archivos solicitando acceso completo al disco. Lo particular es que este aviso puede aparecer hasta 40 minutos después de la instalación, dificultando que el usuario relacione la solicitud con la descarga inicial. Si concede el permiso, el malware obtiene acceso a información protegida, incluidos correos electrónicos, mensajes y copias de seguridad de Time Machine.
La firma explicó que este tipo de campañas depende principalmente de la ingeniería social. Según Jaron Bradley, director de Jamf Threat Labs, los ciberdelincuentes compran anuncios en plataformas como Google Ads y X para dirigir a los usuarios hacia páginas falsas que aparentan ofrecer aplicaciones legítimas. La compañía añadió que recientemente detectó otro anuncio patrocinado en X que distribuía una variante del malware Atomic Stealer mediante una cuenta verificada, aumentando la credibilidad del engaño.
Aunque la empresa afirmó que todavía no ha encontrado evidencias de que PamStealer esté siendo utilizado de forma activa, ya notificó a Apple sobre sus hallazgos. Hasta el momento, la compañía no ha emitido comentarios públicos sobre el caso.
Los investigadores concluyen que esta campaña refleja una tendencia creciente entre los ciberdelincuentes: disfrazar malware como software legítimo y aprovechar plataformas de confianza para distribuirlo. Un informe de la empresa de investigación TRM Labs, aseguró que este 2026 hubo un incremento en la cantidad de ataques, con pérdidas totales de USD 972 millones, como indicó CriptoNoticias.
En el caso de los usuarios de criptomonedas, estas amenazas representan un riesgo importante, ya que el robo de credenciales o de las claves de una wallet puede derivar en la pérdida irreversible de los fondos digitales.
#estafas #Malwareattack #Twitter #scam #ciberseguridad $AAVE $XRP $ALPHA