Kaspersky alertó sobre una nueva estafa digital que apunta a usuarios de Mac y que se aprovecha de anuncios pagados en Google y de páginas que parecen provenir del sitio oficial de ChatGPT.
Según la empresa, los atacantes logran que las víctimas sigan una supuesta “guía de instalación” de una herramienta llamada ChatGPT Atlas, cuando en realidad se trata de instrucciones falsas diseñadas para instalar un programa malicioso.
La trampa comienza cuando el usuario hace clic en un anuncio que parece legítimo y es dirigido a una página que imita una conversación compartida de ChatGPT. Allí se presentan pasos aparentemente simples, como copiar y pegar una línea de código en la aplicación Terminal del Mac. Al hacerlo, sin darse cuenta, la víctima instala un software que roba información personal y deja el equipo abierto para que los atacantes puedan volver a entrar más adelante.
El análisis de Kaspersky revela que, una vez que el usuario ejecuta el comando, este descarga un pequeño programa desde el sitio externo atlas-extension[.]com. Ese programa pide varias veces la contraseña del Mac, como si fuera algo legítimo, para comprobar que la víctima introduce la correcta.
Cuando el sistema obtiene la contraseña válida, descarga AMOS, un software malicioso diseñado para robar información del usuario, como contraseñas, datos guardados en el navegador y archivos personales. Con la contraseña que acabó de obtener, el programa logra instalar AMOS sin que el usuario lo note y deja el malware funcionando en segundo plano.
Los investigadores explican que este método forma parte de una técnica conocida como ClickFix, en la que el atacante convence al usuario de ejecutar por sí mismo un comando que trae e inicia código dañino desde servidores bajo control de los criminales.
Después de la instalación, AMOS recopila datos que pueden monetizarse o reutilizarse en intrusiones posteriores. El malware apunta a contraseñas, cookies y otra información de navegadores populares; datos de monederos de criptomonedas como Electrum, Coinomi y Exodus; e información de aplicaciones como Telegram Desktop y OpenVPN Connect.
La campaña refleja una tendencia más amplia en la que los infostealers se han convertido en una de las amenazas de más rápido crecimiento en 2025, con atacantes que experimentan activamente con temas relacionados con IA, herramientas falsas de IA y contenido generado por IA para aumentar la credibilidad de sus señuelos.
“Este ataque funciona no porque use una técnica avanzada, sino porque aprovecha elementos que a los usuarios les resultan totalmente familiares”, explica Eduardo Chavarro, director del equipo de respuesta a incidentes para América en Kaspersky.
Para evitar caer en este tipo de vulnerabilidades, los expertos de Kaspersky recomiendan desconfiar de cualquier guía que pida abrir Terminal o PowerShell. Si una página, mensaje o “tutorial” que no pediste te dice que copies un comando en tu computador, tómalo como una señal de alerta.
Fuente: Kaspersky
