Kaspersky alertó sobre una nueva campaña de fraude digital dirigida a usuarios de Mac, en la que los atacantes se hacen pasar por el sitio oficial de ChatGPT para distribuir malware.
La estafa se detectó en anuncios pagados de Google y en páginas web que simulan conversaciones compartidas de ChatGPT.
El objetivo es engañar a las víctimas para que sigan una supuesta guía de instalación de una herramienta llamada ChatGPT Atlas, cuando en realidad ejecutan instrucciones diseñadas para instalar software malicioso en sus equipos.
LEA TAMBIÉN
Cómo funciona la falsa guía de ChatGPT
La trampa comienza cuando el usuario hace clic en un anuncio que parece legítimo y es redirigido a una página que imita el formato de una conversación compartida de ChatGPT. Allí se presentan instrucciones sencillas, como copiar y pegar una línea de código en la aplicación Terminal del Mac.
Al ejecutar ese comando, sin saberlo, la víctima inicia la instalación de un programa diseñado para robar información personal y dejar el sistema abierto a accesos posteriores de los atacantes.
ChatGPT es un modelo de inteligencia artificial de OpenAI. Foto:iStock
Descarga del malware y robo de contraseñas
El análisis de Kaspersky indica que el comando ejecutado descarga un pequeño programa desde el sitio externo atlas-extension[.]com.
Ese programa solicita en repetidas ocasiones la contraseña del Mac, simulando un proceso legítimo, con el fin de verificar que el usuario introduzca la clave correcta. Una vez obtenida, el sistema descarga AMOS, un software malicioso especializado en el robo de información.
LEA TAMBIÉN
Qué información roba el malware AMOS
AMOS está diseñado para sustraer contraseñas, datos almacenados en navegadores y archivos personales. El malware apunta a información de navegadores populares, monederos de criptomonedas como Electrum, Coinomi y Exodus, y aplicaciones como Telegram Desktop y OpenVPN Connect. T
ambién busca archivos con extensiones TXT, PDF y DOCX en las carpetas Escritorio, Documentos y Descargas, así como datos de la aplicación Notas. Toda esta información es exfiltrada a servidores controlados por los atacantes.
Técnica ClickFix y acceso persistente al sistema
Los investigadores explican que este método forma parte de una técnica conocida como ClickFix, en la que el atacante convence al usuario de ejecutar por sí mismo un comando que descarga e inicia código malicioso desde infraestructura controlada por criminales.
Además del robo de datos, el ataque instala una puerta trasera que se ejecuta automáticamente al reiniciar el equipo, proporcionando acceso remoto persistente y replicando funciones de recopilación de información de AMOS.
Esto debe saber. Foto:iStock
“Este ataque funciona no porque use una técnica avanzada, sino porque aprovecha elementos que a los usuarios les resultan totalmente familiares”, explicó Eduardo Chavarro, director del equipo de respuesta a incidentes para América en Kaspersky.
“Un anuncio patrocinado que parece legítimo, una página que luce profesional y un único comando presentado como parte de una instalación normal bastan para que muchas personas relajen su cautela”.
LEA TAMBIÉN
Cuatro recomendaciones para protegerse del engaño
Los expertos de Kaspersky recomiendan tomar las siguientes medidas para evitar este tipo de ataques:
- Desconfiar de guías que pidan abrir Terminal o PowerShell: si una página o mensaje no solicitado solicita copiar un comando, debe considerarse una señal de alerta.
- Cerrar la página si no se entiende la instrucción: ningún proceso que requiera escribir comandos debería ejecutarse sin comprensión clara.
- Pedir ayuda antes de ejecutar algo desconocido: consultar a una persona de confianza o a una herramienta de seguridad para verificar qué hace un comando.
- Usar una solución de seguridad actualizada: mantener instalado un software de seguridad confiable que detecte y bloquee este tipo de amenazas.
Más noticias en EL TIEMPO
*Este contenido fue reescrito con la asistencia de una inteligencia artificial, basado en información de Kaspersky.
