– UNSPLASH/CHRISTIAN WIEDIGER – Archivo
MADRID, 11 Dic. (CIBERPRO) –
Recientemente, ha surgido una nueva campaña que utiliza la técnica del envenenamiento de SEO para transformar las búsquedas en Google sobre soluciones técnicas para macOS en un proceso de distribución de ‘malware’, incorporando interacciones legítimas con ChatGPT y Grok.
Los usuarios de macOS a menudo recurren a Google para encontrar métodos que resuelvan problemas comunes, como liberar espacio en disco; un aspecto que los ciberdelincuentes han explotado en esta nueva estrategia maliciosa.
En concreto, han alterado estas búsquedas, y variaciones como «cómo eliminar datos en iMac» o «liberar espacio en Mac», para situar en posiciones destacadas de los resultados enlaces a dos tutoriales generados por ChatGPT y Grok.
Esta táctica se denomina envenenamiento de SEO y consiste en posicionar en lugares prominentes de los resultados de búsqueda de Google páginas web maliciosas que imitan la apariencia de sitios y foros legítimos, engañando así a las víctimas que creen haber encontrado la solución que buscaban.
En este caso, dos enlaces dirigen a conversaciones con los conocidos ‘chatbots’. Según los investigadores de Huntress, son interacciones auténticas mantenidas con ChatGPT y Grok, y almacenadas en los servidores de OpenAI y xAI, respectivamente.
En estas interacciones, además de ofrecer instrucciones detalladas sobre cómo liberar espacio en macOS, las víctimas se encuentran con frases que refuerzan la percepción de legitimidad, como «elimina de manera segura», «no afecta a tus datos personales» o «no altera la configuración del sistema».
El verdadero riesgo radica en un comando que el tutorial solicita copiar y ejecutar en la Terminal. Al hacerlo, sin darse cuenta, las víctimas permiten la instalación encubierta de un ‘malware’ que infecta el dispositivo y permanece en él hasta que se elimina.
Este ‘malware’, denominado AMOS (Atomic macOS Stealer), es un ladrón de información diseñado para recolectar credenciales de criptomonedas, inicios de sesión guardados en el navegador, y acceso al llavero de macOS, recopilando todos estos datos y enviándolos a servidores controlados por los cibercriminales.
Con esta campaña de distribución de AMOS, la firma de ciberseguridad advierte que «los atacantes ya no intentan superar el escepticismo del usuario; se aprovechan directamente de su confianza«.
El ataque solo requiere que las víctimas busquen, hagan clic y copien y peguen un comando. «Toda la cadena de infección parece un comportamiento normal y seguro. Los usuarios no son descuidados. No ignoran las advertencias de seguridad. Siguen las instrucciones de una plataforma de IA de confianza, proporcionadas a través de un motor de búsqueda que utilizan diariamente, para una tarea que realmente necesita acceso a la Terminal», concluyen.
