Los cibercriminales utilizan anuncios engañosos para infectar sistemas y propagar malware. Esto ha sucedido en una campaña que usa anuncios de Google, donde atraen a los usuarios con conversaciones supuestamente con ChatGPT o Grok. El objetivo es comprometer los dispositivos y robar información valiosa. A continuación, te explicamos cómo opera esta amenaza y qué medidas puedes tomar para protegerte.
El interés por la Inteligencia Artificial está en aumento, lo cual es aprovechado por los hackers. Por ello, es esencial entender sus métodos y no facilitarles el trabajo. Está en tus manos resguardar tus dispositivos y prevenir el robo de datos personales, contraseñas, o la toma de control del equipo.
Anuncios engañosos de Google para infectar
Esta campaña maliciosa fue detectada inicialmente por investigadores de seguridad de Kaspersky, como se indica en una publicación en su sitio del 9 de diciembre. A este informe inicial se le ha añadido otra investigación de Huntress, que proporciona más detalles sobre el tema.
Este es un ataque del tipo ClickFix, que inicia cuando la víctima busca información relacionada con macOS, el sistema operativo afectado. Por ejemplo, consultas sobre problemas, mantenimiento o el uso de Atlas, el navegador con IA de OpenAI.
Los anuncios engañosos de Google que aparecen en esas búsquedas redirigen a conversaciones de ChatGPT y Grok, dos chatbots muy conocidos. Dichos chats contienen instrucciones maliciosas que inducen a la víctima a cometer errores y, de este modo, instalar malware. Esto se conoce como resultados de búsqueda envenenados.
En la investigación de Huntress, se identificaron términos de búsqueda tales como “eliminar datos del sistema en iMac”, “cómo borrar datos en iMac” o “liberar espacio en Mac”. Esto confirma que no se trata de un caso aislado, sino que emplean diversas metas de búsqueda.
Si un usuario es víctima de esta trampa y ejecuta comandos desde el chat de IA en la Terminal de macOS, una URL codificada en base64 se transforma en un script bash que muestra un cuadro de diálogo con una solicitud de contraseña falsa. Al ingresar la contraseña, el script la valida, la guarda y la utiliza para ejecutar comandos con privilegios elevados. Esto permite la descarga del malware, llamado AMOS, que tiene la capacidad de robar información y ejecutar malware con derechos de administrador.
A continuación, te presentamos las capacidades de filtración de datos de AMOS:
Capacidades de filtración de datos de AMOS
| Tipo de Dato | Objetivo Específico | Riesgo para la Víctima |
|---|---|---|
| Credenciales de Sistema | Contraseña de administrador de macOS y datos del Llavero (Keychain) | Control total del dispositivo, acceso a todas las cuentas. |
| Datos de Navegador | Cookies, contraseñas guardadas, historial y datos de autocompletar (Chrome, Firefox, Safari) | Robo de identidad, acceso a redes sociales, correo electrónico, banca online. |
| Carteras de Criptomonedas | Archivos de carteras como Exodus, Atomic, MetaMask, etc. | Robo directo de activos digitales. |
| Ficheros del Usuario | Acceso a documentos, imágenes y otros archivos en el escritorio y carpetas personales. | Extorsión, robo de información confidencial. |
Cómo protegerte
Este malware puede extraer información sensible, afectar carteras de criptomonedas, datos del navegador, cookies y contraseñas almacenadas. Incluso puede obtener la clave del Wi-Fi. Por lo tanto, es esencial protegerse y no caer en las trampas de los cibercriminales.
Lo más importante es el sentido común. Ten cuidado con anuncios que podrían ser fraudulentos. Nunca debes ejecutar comandos que encuentres en instrucciones en línea, ya que podrían ser engañosos. Verifica cuidadosamente las URL que visitas y evita descargar software si no estás completamente seguro de su fiabilidad. No cometas el error de descargar archivos maliciosos que recibas por correo.
Además, es fundamental mantener el dispositivo bien protegido. Asegúrate de contar con un buen antivirus, ya que esto te ayudará a detectar y eliminar malware. También debes mantener todo actualizado para corregir vulnerabilidades y así reducir el riesgo de ataques.
En conclusión, ten cuidado con esta amenaza que puede surgir al realizar búsquedas. No confíes en supuestos chatbots que te piden ejecutar comandos, ya que son trampas. Examina minuciosamente tu dispositivo y asegúrate de contar con un buen antivirus, que esté actualizado y correctamente configurado.
Preguntas frecuentes
¿Qué debo hacer si he sido víctima de esta trampa?
Es crucial que verifiques qué información ha podido estar expuesta. Asegúrate de cambiar tus contraseñas y eliminar archivos que puedan ser maliciosos.
¿Un antivirus evita que mi dispositivo se infecte con esta campaña?
Contar con un antivirus es útil para detectar y eliminar malware. Sin embargo, no siempre será suficiente. Es importante mantener todo actualizado y ser precavido.
¿A qué sistema operativo afecta esta campaña maliciosa?
Afecta a macOS. Si utilizas otro sistema operativo, este problema no te afectará. Sin embargo, podrían existir campañas maliciosas similares que sí impacten a otros sistemas operativos.
