Resumen sobre el Malware FrigidStealer en MacOS
FrigidStealer es una cepa de malware emergente que ataca a los usuarios de MacOS, predominantemente a través de actualizaciones falsas del navegador. Este malware, parte de la familia Hurón, fue identificado por primera vez en febrero de 2025 y ha afectado a usuarios en América del Norte, Europa y Asia. Su aparición ha sido vinculada a dos grupos de cibercriminales, TA2726 y TA2727, que utilizan tácticas similares en sus ataques.
El método de operación de FrigidStealer se basa en engañar a los usuarios para que descarguen un archivo de imagen de disco (DMG) que finge ser una actualización de Safari. Este archivo evita las protecciones de Gatekeeper de Apple al solicitar la contraseña del usuario, aprovechando vulnerabilidades en AppleScript. Una vez instalado, el malware se disfraza como una aplicación legítima, lo que le permite eludir la detección.
Al activarse, FrigidStealer comienza a recolectar una amplia gama de datos confidenciales del sistema afectado, que incluye credenciales de navegadores, archivos de sistema, información de billeteras de criptomonedas y notas de Apple. Después de la recolección, los datos son enviados a un servidor de comando y control mediante consultas DNS, utilizando la herramienta MDNSSponder. Para evitar ser detectado, el malware termina su propio proceso tras enviar la información robada.
Según Wazuh, una firma de ciberseguridad que detectó el malware y compartió su análisis, FrigidStealer no depende de de la explotación de vulnerabilidades tradicionales. En cambio, se aprovecha de la confianza del usuario en las notificaciones del sistema y en las alerts de actualización del navegador, lo que lo hace especialmente peligroso. Este método de ataque requiere menor sofisticación técnica de los criminales, pero sigue siendo altamente efectivo.
Una característica distintiva de FrigidStealer es su comportamiento para mantenerse persistente en el sistema macOS. Registra su presencia como una aplicación en primer plano y se comunica con el sistema de manera no autorizada a través de eventos de Apple. También elimina cualquier rastro de su actividad posterior a la ejecución, dificultando así su detección. Los registros del Sistema de registro Unificado (ULS) de Apple indican que el malware utiliza nombres y servicios de procesos legítimos para ocultarse, lo que añade otra capa de complejidad a su captura.
Los usuarios de MacOS deben ser especialmente cautelosos, ya que FrigidStealer muestra que los atacantes están aprendiendo a combinar tácticas de engaño sofisticadas con un conocimiento profundo del sistema operativo. El primer paso en esta cadena de ataque suele ser la clicada inadvertida en un enlace engañoso o la confianza en información falsa de actualización.
Por tanto, se recomienda a los usuarios que eviten instalar actualizaciones de software a través de enlaces inesperados o de sitios de terceros. Las actualizaciones deben ser siempre obtenidas de fuentes oficiales, como la App Store de Mac o la herramienta de actualización del sistema. Mantener buenas prácticas de seguridad ayudará a minimizar el riesgo de ser víctima de este y otros tipos de malware.
En resumen, la creciente sofisticación de amenazas como FrigidStealer representa un desafío significativo para los usuarios de MacOS. El cambio hacia métodos de ataque más engañosos subraya la necesidad de una mayor conciencia y precaución al realizar actividades en línea, enfatizando la importancia de verificar siempre la fuente de las actualizaciones y ser cauteloso con las solicitudes de descarga.