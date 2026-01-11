Jacarta – Campaña Esto es muy engañoso, no te involucres. Así lo explicó Kaspersky Threat Research.

Lea también: Indonesia bloquea a Grok debido a la pornografía deepfake



Identifican una nueva campaña de malware que utiliza anuncios de búsqueda Google Conversación paga y compartida en el sitio web oficial. ChatGPT engañar a los usuarios Impermeable Manzana.

El objetivo es ejecutar un comando que instale el infostealer AMOS (Atomic macOS Stealer) y una puerta trasera permanente en su dispositivo.

Lea también: Grok limita las funciones de inteligencia artificial a pago después de la controversia sobre el ‘desnudo digital’, Elon Musk cosecha críticas globales



En esta campaña, el atacante compró anuncios de búsqueda patrocinados para consultas como «chatgpt atlas» y dirigió a los usuarios a una página que parecía una guía de instalación de «ChatGPT Atlas para macOS» alojada en chatgpt.com.

En realidad, la página es una conversación ChatGPT compartida generada mediante ingeniería rápida y luego desinfectada para que solo queden instrucciones de «instalación» paso a paso.

Lea también: Los efectos de la IA son cada vez más aterradores y se prevé que la ola de despidos continuará hasta 2030



La guía indica a los usuarios que copie una línea de código, abra Terminal en macOS, pegue el comando y otorgue todos los permisos solicitados.

El análisis de los investigadores de Kaspersky muestra que el comando descarga y ejecuta scripts desde un dominio externo de extensión de atlas.[.]com.

El script solicita repetidamente al usuario que ingrese su contraseña del sistema y valida la contraseña intentando ejecutar comandos del sistema.

Una vez que se proporciona la contraseña correcta, el script descarga el infostealer de AMOS, utiliza las credenciales robadas para instalarlo y ejecuta el malware.

Este flujo de infección es una variación de una técnica llamada ClickFix, en la que se persuade a los usuarios para que ejecuten manualmente comandos de shell que recuperan y ejecutan código desde un servidor remoto.

Después de la instalación, AMOS recopila datos que pueden monetizarse o reutilizarse en intrusiones posteriores.

El malware se dirige a contraseñas, cookies y otra información de navegadores populares, datos de carteras de criptoactivos como Electrum, Coinomi y Exodus, así como información de aplicaciones como Telegram Desktop y OpenVPN Connect.

También busca archivos con extensiones TXT, PDF y DOCX en las carpetas «Escritorio», «Documentos» y «Descargas», así como archivos guardados por la aplicación «Notas», y luego filtra estos datos a una infraestructura controlada por el atacante.

En paralelo, el ataque instaló una puerta trasera configurada para ejecutarse automáticamente al reiniciar, proporcionando acceso remoto al sistema comprometido y duplicando gran parte de la lógica de recopilación de datos de AMOS.