Investigadores de seguridad han documentado una nueva campaña dirigida a usuarios de macOS que combina una ingeniería social convincente con una técnica de empaquetado que complica el análisis forense. El actor detrás de esta operación distribuye un información‑ladrona bautizado como Infinity Stealer y aprovecha una trampa visual que imita las pantallas de verificación humana para empujar a la víctima a ejecutar código en Terminal.
La puerta de entrada del ataque es una página web que finge ser el paso de validación humano (algo que muchos servicios, como Cloudflare, usan legítimamente). En lugar de obligar al navegante a resolver un reto gráfico, la web solicita que copie y pegue en Terminal un comando curl codificado en base64. Ese único gesto, aparentemente inocuo para quien confía en la falsa verificación, descifra y lanza una secuencia de bash que descarga y escribe un segundo componente en /tmp, anula la bandera de cuarentena del archivo y lo ejecuta en segundo plano. El resultado es que el sistema salta las protecciones de usuario y arranca una cadena de etapas maliciosas sin interacción adicional.
Lo que distingue a esta campaña no es solo el truco visual, conocido en la investigación como ClickFix, sino cómo está construido el payload principal: se trata de código Python compilado con el proyecto de código abierto Nuitka. A diferencia de utilidades como PyInstaller, que empaquetan el intérprete y bytecode Python en un contenedor reconocible, Nuitka convierte el código Python a C y genera un binario nativo. Eso produce un ejecutable Mach‑O real que resulta mucho más resistente a las técnicas clásicas de análisis estático y complica la ingeniería inversa.
Las conclusiones técnicas publicadas por los analistas que investigaron la campaña ofrecen detalles preocupantes. El cargador inicial compilado con Nuitka es un binario de varios megabytes que contiene un gran archivo comprimido con zstd; dentro se halla la etapa final del infostealer. Antes de comenzar a recolectar información, el malware realiza una serie de comprobaciones para identificar si está siendo ejecutado en un entorno virtualizado o en sandbox, lo que le permite evitar análisis automatizados y entornos de investigación.
Una vez desplegado, el componente Python (corriendo sobre Python 3.11 en los casos analizados) incluye capacidades típicas de los roedores de credenciales: captura de pantallazos, extracción de credenciales de navegadores basados en Chromium y Firefox, exfiltración de entradas del llavero de macOS, localización de wallets de criptomonedas y búsqueda de secretos en ficheros de desarrollo como .env. Todo lo recogido se envía al servidor de mando y control mediante peticiones HTTP POST y, además, los operadores reciben una notificación por Telegram cuando la operación termina, aprovechando la API de bots de esa plataforma.
El propio informe técnico que describe la campaña subraya que, hasta donde alcanzan las observaciones, se trata de la primera campaña documentada que combina la entrega por ClickFix con un infostealer escrito en Python y compilado con Nuitka en macOS. Esa conjunción de ingeniería social y empaquetado nativo supone un avance en la capacidad de los atacantes para eludir detecciones tradicionales y ralentiza el trabajo de los equipos de respuesta.
¿Por qué Nuitka complica la detección? Porque deja menos señales típicas de malware Python: no hay una capa obvia de bytecode que herramientas y analistas buscan para desenmarañar la lógica; en su lugar aparece un binario nativo que, a nivel de firma y estructura, se parece mucho más a una aplicación legítima. Si a eso se suma la ofuscación en múltiples etapas (archivos comprimidos dentro del ejecutable, uso de variables de entorno para pasar tokens, eliminación de rastros cuando concluye la ejecución), la tarea de inteligencia y análisis manual se vuelve mucho más laboriosa.
Si quieres leer el análisis técnico original y los indicadores recopilados por los investigadores, la investigación está disponible en el blog de Malwarebytes: Malwarebytes — Infiniti Stealer. Para comprender mejor las diferencias técnicas entre herramientas de empaquetado Python, puedes consultar la documentación de Nuitka y la de PyInstaller. Y si te interesa saber cómo funcionan las comprobaciones humanas legítimas en web, la documentación de Cloudflare sobre sistemas de verificación (Turnstile) es un buen punto de referencia: Cloudflare Turnstile. Además, la forma en que los operadores notifican resultados a través de bots puede apoyarse en la API pública de Telegram: Telegram Bot API.
Para los usuarios y administradores esto deja lecciones claras. En primer lugar, nunca se debe pegar en Terminal comandos recogidos de páginas web o mensajes sin entender exactamente qué hacen; esa práctica es la puerta de entrada más repetida en campañas como esta. En segundo lugar, es recomendable reforzar las políticas de ejecución en las máquinas macOS: aplicar controles de Gatekeeper, mantener el sistema y las aplicaciones actualizadas, y considerar soluciones de protección de endpoints que inspeccionen comportamientos inusuales, no solo firmas estáticas. Apple dispone de documentación de soporte que ayuda a entender cómo Gatekeeper y la cuarentena de archivos ayudan a proteger los equipos: Soporte Apple — Problemas para instalar o abrir apps.
Si sospechas que has podido ser víctima de este tipo de infección, es recomendable desconectar la máquina de la red, evitar reutilizar credenciales que pudieran haberse expuesto, cambiar contraseñas desde otro dispositivo seguro y contactar con servicios de respuesta o usar herramientas de confianza para buscar artefactos conocidos. En entornos corporativos, bloquear la ejecución de binarios no firmados mediante MDM y revisar logs de Terminal y conexiones salientes puede ayudar a detectar compromisos tempranos.
El caso de Infinity Stealer es un recordatorio de que las amenazas en macOS siguen evolucionando: los atacantes combinan tácticas psicológicas con técnicas de ofuscación y empaquetado para maximizar impacto y minimizar la posibilidad de ser analizados. Mantener la sospecha razonable frente a ventanas emergentes, desafíos de verificación o instrucciones para pegar comandos y reforzar políticas de seguridad son medidas sencillas que, a la larga, pueden marcar la diferencia entre un susto y una brecha.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...