domingo 11 de enero de 2026 – 13:51 WIB
Jacarta – Campaña Esto es muy engañoso, no te involucres. Así lo explicó Kaspersky Threat Research.
Identifican una nueva campaña de malware que utiliza anuncios de búsqueda Google Conversación paga y compartida en el sitio web oficial. ChatGPT engañar a los usuarios Impermeable Manzana.
El objetivo es ejecutar un comando que instale el infostealer AMOS (Atomic macOS Stealer) y una puerta trasera permanente en su dispositivo.
Lea también:
Grok limita las funciones de inteligencia artificial a pago después de la controversia sobre el ‘desnudo digital’, Elon Musk cosecha críticas globales
En esta campaña, el atacante compró anuncios de búsqueda patrocinados para consultas como «chatgpt atlas» y dirigió a los usuarios a una página que parecía una guía de instalación de «ChatGPT Atlas para macOS» alojada en chatgpt.com.
En realidad, la página es una conversación ChatGPT compartida generada mediante ingeniería rápida y luego desinfectada para que solo queden instrucciones de «instalación» paso a paso.
Lea también:
Los efectos de la IA son cada vez más aterradores y se prevé que la ola de despidos continuará hasta 2030
La guía indica a los usuarios que copie una línea de código, abra Terminal en macOS, pegue el comando y otorgue todos los permisos solicitados.
El análisis de los investigadores de Kaspersky muestra que el comando descarga y ejecuta scripts desde un dominio externo de extensión de atlas.[.]com.
El script solicita repetidamente al usuario que ingrese su contraseña del sistema y valida la contraseña intentando ejecutar comandos del sistema.
Una vez que se proporciona la contraseña correcta, el script descarga el infostealer de AMOS, utiliza las credenciales robadas para instalarlo y ejecuta el malware.
Este flujo de infección es una variación de una técnica llamada ClickFix, en la que se persuade a los usuarios para que ejecuten manualmente comandos de shell que recuperan y ejecutan código desde un servidor remoto.
Después de la instalación, AMOS recopila datos que pueden monetizarse o reutilizarse en intrusiones posteriores.
El malware se dirige a contraseñas, cookies y otra información de navegadores populares, datos de carteras de criptoactivos como Electrum, Coinomi y Exodus, así como información de aplicaciones como Telegram Desktop y OpenVPN Connect.
También busca archivos con extensiones TXT, PDF y DOCX en las carpetas «Escritorio», «Documentos» y «Descargas», así como archivos guardados por la aplicación «Notas», y luego filtra estos datos a una infraestructura controlada por el atacante.
En paralelo, el ataque instaló una puerta trasera configurada para ejecutarse automáticamente al reiniciar, proporcionando acceso remoto al sistema comprometido y duplicando gran parte de la lógica de recopilación de datos de AMOS.
Página siguiente
La campaña refleja una tendencia más amplia en la que los ladrones de información se han convertido en una de las amenazas de más rápido crecimiento en el último año, con atacantes experimentando activamente con temas relacionados con la IA, herramientas de IA falsas y contenido generado por IA para aumentar la credibilidad de sus feeds.
