9to5Mac Security Bite presentado exclusivamente por Mosyle, la única plataforma unificada de Apple. Hacer que los dispositivos Apple estén listos para funcionar y sean seguros para la empresa es todo lo que hacemos. Nuestro exclusivo enfoque integrado de gestión y seguridad combina soluciones de seguridad específicas de Apple líderes en la industria para un refuerzo y cumplimiento totalmente automatizados, EDR de próxima generación, Zero Trust impulsado por IA y gestión de privilegios patentados con el MDM de Apple más potente y moderno del mercado. El resultado es una plataforma unificada de Apple totalmente automatizada, utilizada actualmente por más de 45.000 organizaciones para preparar millones de dispositivos Apple para funcionar sin esfuerzo y de forma asequible. Solicita tu PRUEBA EXTENDIDA hoy y comprende por qué Mosyle es todo lo que necesitas para trabajar con Apple.
Como sabrá, hace unas semanas en Security Bite me entusiasmó el nuevo mensaje de advertencia de Apple en la Terminal que aparece cuando un usuario pega comandos potencialmente maliciosos. La característica de seguridad se integró en el lanzamiento público de macOS Tahoe 26.4 para interrumpir aún más los ataques ClickFix, que ahora son el principal mecanismo de entrega de malware en Mac.
Sin embargo, ahora parece que los autores de malware Ya implementar soluciones alternativas.
Aunque la carga útil que libera casi siempre es un ladrón de información o un troyano como Atomic Stealer, ClickFix en sí no es una familia de malware sino una técnica de entrega que depende en gran medida de la ingeniería social. Por lo general, funciona engañando a un usuario desprevenido para que pegue código malicioso en el terminal y lo ejecute.
Su aumento de popularidad se produjo en 2025 después de que Apple lanzara macOS Sequoia, que tomó una medida proactiva para evitar que Joe Shmoes ejecutara malware en sus Mac. Los usuarios de Sequoia ya no podían hacer clic derecho para reemplazar Gatekeeper y abrir software que no estuviera firmado o certificado ante notario por Apple. Ahora tenían que ir a Configuración, luego a Privacidad y «verificar información de seguridad» antes de poder ejecutarlo. Los pasos adicionales y las molestias están muy lejos de la facilidad a la que estaban acostumbrados los autores de malware.
Los instaladores falsos de DMG más tarde tuvieron mucho éxito, pero ClickFix surgió desde entonces porque es barato, rápido y aún evita Gatekeeper sin la necesidad de obtener un certificado de firma.
Ahora en un reciente publicación de blog de Jamf Threat Labs, sus investigadores de seguridad detallan una nueva variante de ClickFix que evita por completo Terminal con las nuevas protecciones de Apple.
En lugar de engañar a los usuarios para que peguen un comando en la Terminal, un ejemplo de Jamf incluye una página web falsa con el tema de Apple (falsificada como una página «Recuperar espacio en disco en tu Mac») que presenta un botón «Ejecutar». Al hacer clic en él se activa un applescript:// Esquema de URL en el navegador, que solicita al usuario que abra el editor de secuencias de comandos con una secuencia de comandos previamente completada ya cargada. Un clic más y comienza.
Dado que el comando nunca toca la terminal, la nueva advertencia de pegado en macOS Tahoe 26.4 nunca tiene la posibilidad de activarse. En 26.4, Script Editor genera su propio mensaje de «desarrollador no identificado» antes de guardar el script, pero si el usuario hace clic en él, el script se ejecuta, extrae un comando curl ofuscado y coloca la última variante de algo como Atomic Stealer en la Mac.
Y así continúa el tira y afloja interminable entre Apple y los autores de malware…
Siga a Arin Waichulis: LinkedIn, Temas, incógnita
Suscríbase al podcast 9to5Mac Security Bite para obtener revisiones y entrevistas en profundidad quincenales con los principales investigadores y expertos en seguridad de Apple:
