Durante años, los ordenadores Mac fueron percibidos como más seguros que los PC con Windows. Sin embargo, el crecimiento de su popularidad ha convertido a macOS en un objetivo cada vez más atractivo para los atacantes.
Un reciente informe de Jamf Threat Labs alerta sobre una nueva técnica que aprovecha certificados de desarrollador legítimos de Apple para disfrazar malware como aplicaciones seguras, lo que representa un serio desafío para la seguridad de los usuarios.
Tras la investigación de Jamf, los certificados comprometidos fueron reportados a Apple, que procedió a revocarlos para impedir la propagación del malware. Sin embargo, el incidente demuestra que incluso los sistemas de validación más estrictos pueden ser explotados si los atacantes logran acceso a credenciales legítimas.
TE PUEDE INTERESAR: IDC advierte caída del mercado de computadores en 2026 por la crisis de memoria
Cómo funciona el ataque
Los hackers han encontrado una manera de burlar las verificaciones de Apple:
- Uso de certificados robados o comprados: aplicaciones maliciosas se firman con IDs de desarrollador auténticos, lo que les permite pasar como software legítimo.
- Estrategia de “bait and switch”: los atacantes envían una versión limpia del programa para revisión, escrita en Swift, y una vez instalada en el equipo, el software descarga el código malicioso desde un servidor remoto.
- Carga diferida del virus: el malware espera hasta estar en el sistema para desplegarse, lo que dificulta que los escaneos iniciales lo detecten.
Nueva versión del MacSync Stealer
Este ataque corresponde a una evolución del conocido MacSync Stealer:
- Antes requería que los usuarios ejecutaran comandos manuales.
- Ahora se oculta en instaladores falsos de aplicaciones de mensajería.
- Incluye archivos señuelo (como PDFs falsos) para simular un tamaño normal y evitar sospechas.
- Ejecuta scripts en segundo plano sin alertar al usuario.
Técnicas de evasión
Los ciberdelincuentes han añadido mecanismos para reducir la probabilidad de detección:
- El malware comprueba que el usuario esté conectado a internet antes de actuar.
- Usa temporizadores para limitar su actividad y evitar ralentizar el sistema.
- Incluye medidas para pasar desapercibido frente a antivirus y herramientas de seguridad.
Foto: Archivo FOLOU.