ataque ClickFix Script Editor macOS: Una nueva campaña de malware para macOS está utilizando el Editor de Scripts (Script Editor) en una variante del ataque ClickFix para distribuir Atomic Stealer (AMOS) sin necesidad de que la víctima interactúe directamente con la Terminal, según el análisis de los investigadores de Jamf que hemos revisado.
- La campaña utiliza páginas web falsas con temática Apple que simulan ser guías para liberar espacio en disco.
- El ataque abusa del esquema de URL
applescript://para abrir el Editor de Scripts con código malicioso pre-insertado. - El payload final es Atomic Stealer, un malware-as-a-service que roba credenciales, datos de navegadores, extensiones de criptomonedas e información del sistema.
- Esta variante elude la advertencia de seguridad que Apple añadió en macOS 26.4 (Tahoe) para los ataques ClickFix basados en Terminal.
- Los usuarios deben tratar cualquier prompt del Editor de Scripts de origen desconocido como de alto riesgo y ceñirse a la documentación oficial de Apple.
Cómo funciona el ataque ClickFix con el Editor de Scripts de macOS
Los ciberdelincuentes están atrayendo a víctimas mediante sitios web falsos que imitan a la perfección guías de soporte o foros de Apple. Estas páginas, que aparentan ofrecer instrucciones legítimas para limpiar el sistema y recuperar espacio en disco, contienen en realidad un código ofuscado que se activa al hacer clic en un enlace específico. Dicho enlace emplea el esquema de URL applescript://, el cual está diseñado para abrir de forma nativa la aplicación Editor de Scripts de macOS. ataque ClickFix Script Editor macOS es clave para entender el alcance de esta amenaza.
La clave de esta nueva variante del ataque ClickFix reside en que, a diferencia de los métodos anteriores que obligaban a la víctima a copiar y pegar comandos en la Terminal, aquí la ejecución del código malicioso es más sigilosa. Al abrirse el Editor de Scripts, la ventana ya muestra un script pre-llenado que, para un usuario no técnico, puede parecer parte de un proceso de solución de problemas legítimo. Basta con que la víctima pulse el botón de ejecución para que la cadena de infección comience. ataque ClickFix Script Editor macOS es clave para entender el alcance de esta amenaza.
La cadena de ejecución y el payload ofuscado
Analizando el código malicioso, hemos observado que el script ejecuta un comando curl | zsh altamente ofuscado. Este comando descarga y ejecuta directamente en la memoria del sistema un script secundario. Dicho script procede a decodificar un payload comprimido en gzip y codificado en base64, que a su vez descarga un binario Mach-O en la ruta /tmp/helper.
El proceso continúa eliminando los atributos de seguridad extendidos (Extended Attributes) del archivo mediante xattr -c, le asigna permisos de ejecución y, finalmente, lo ejecuta. El binario resultante es identificado como Atomic Stealer, un infostealer de commoditiy que lleva más de un año activo en múltiples campañas, pero que ahora encuentra una nueva vía de distribución a través de esta vulnerabilidad de diseño en el flujo de trabajo del Editor de Scripts.
Atomic Stealer: qué datos roba y por qué es una amenaza grave
Atomic Stealer (AMOS) se ha consolidado como una de las amenazas más polivalentes y dañinas para los usuarios de macOS. Operando bajo un modelo de malware-as-a-service, sus desarrolladores lo alquilan a otros actores maliciosos, lo que explica su amplia distribución. Su objetivo es exfiltrar cualquier dato sensible que pueda tener valor en el mercado negro o facilitar ataques posteriores.
El espectro de información que recolecta es amplísimo: desde el contenido completo del llavero de contraseñas (Keychain) de macOS hasta los archivos del escritorio. En el ámbito de los navegadores, es capaz de vaciar las bases de datos de autocompletado, contraseñas almacenadas, cookies, tarjetas de crédito guardadas y, de forma crítica, las extensiones de carteras de criptomonedas. También recopila metadatos del sistema, lo que permite a los atacantes perfilar a la víctima y adaptar futuros ataques.
La evolución hacia un backdoor persistente
Lo que comenzó como un simple infostealer ha evolucionado. A lo largo de 2025, los operadores de AMOS añadieron un componente de backdoor a su malware. Esto significa que, además de robar datos, ahora puede establecer una puerta trasera en el sistema comprometido, otorgando a los atacantes acceso remoto y persistente. Esta capacidad transforma una infección puntual en un compromiso a largo plazo, permitiendo el robo continuado de información, la instalación de otras herramientas maliciosas o el uso del equipo como parte de una botnet.
Cómo protegerse del ataque ClickFix que abusa del Editor de Scripts
Desde nuestra perspectiva de ciberinteligencia, la defensa contra esta campaña se basa en la concienciación y en aplicar principios de higiene digital básicos pero críticos. El primer y más importante consejo es tratar cualquier ventana emergente o prompt del Editor de Scripts que aparezca de forma inesperada, especialmente tras visitar un sitio web, como una amenaza de alto riesgo. No se debe ejecutar ningún script cuyo origen o propósito no se comprenda al cien por cien.
Para seguir guías de solución de problemas o optimización del sistema, es imperativo recurrir únicamente a fuentes oficiales y de absoluta confianza. La documentación de soporte de Apple en su sitio web oficial es el recurso más seguro. Foros de ayuda como las Apple Support Communities, aunque útiles, no están exentos de riesgo, ya que actores maliciosos pueden infiltrarse publicando respuestas con enlaces dañinos.
Mantener el sistema operativo y todas las aplicaciones actualizadas a su última versión también es crucial. Aunque esta variante específica elude la protección añadida en Terminal, las actualizaciones de seguridad de Apple suelen incluir parches para múltiples vectores de ataque.
El contexto de los ataques ClickFix y la respuesta de Apple
La técnica ClickFix no es nueva. Lleva tiempo siendo utilizada para engañar a usuarios de macOS, haciendo que ejecuten comandos en Terminal copiados de sitios web fraudulentos. La innovación de esta campaña es el salto desde Terminal al Editor de Scripts, una aplicación con iguales privilegios pero quizá percibida como menos técnica y, por tanto, más «inocua» por el usuario medio.
Apple respondió a la oleada inicial de ataques ClickFit basados en Terminal introduciendo una advertencia de seguridad en macOS Tahoe 26.4. Esta advertencia salta cuando se intenta pegar un comando copiado de la web en la aplicación Terminal, alertando al usuario del potencial riesgo. Sin embargo, como hemos analizado, la variante que abusa del Editor de Scripts sortea esta protección de forma efectiva, ya que el código se inyecta directamente vía URL y no requiere pegado manual.
Esta situación subraya un desafío constante en seguridad: los mecanismos de defensa suelen cerrar una puerta específica, pero los atacantes encuentran rápidamente una ventana alternativa. La batalla se traslada de la mera ejecución de comandos en Terminal al abuso de otras aplicaciones nativas legítimas con capacidad de ejecución, como el Editor de Scripts. La vigilancia proactiva y el escepticismo ante cualquier instrucción encontrada en la web siguen siendo las mejores defensas del usuario final.
Recursos y fuentes oficiales:
¿Tu organización está preparada ante las ciberamenazas?
En Iberia Intelligence combinamos Ciberinteligencia y Automatización con IA para anticipar amenazas, proteger activos digitales y blindar la operativa de empresas e instituciones hispanohablantes.