• 2 min de lectura
ClickLock ataca a Macs hasta que los usuarios entregan sus contraseñas
Group-IB afirma que la campaña ClickLock, centrada en macOS, ha afectado a 33 países desde mayo de 2026, usando implacables avisos falsos de contraseña para robar credenciales y datos.

Imagen: TechRadar
Un infostealer recién identificado enfocado en macOS adopta un enfoque inusualmente brusco: volver el Mac tan difícil de usar que las víctimas acaben escribiendo su contraseña. Investigadores de Group-IB dicen que la amenaza, llamada ClickLock, ha estado activa desde al menos mayo de 2026 y se ha visto en 33 países, con más de la mitad de las detecciones en Europa.
Según Group-IB, ClickLock no se basa en exploits ni en privilegios elevados. En su lugar, se apoya en una ingeniería social agresiva. El malware muestra repetidamente un aviso de inicio de sesión mientras termina aplicaciones principales de macOS —incluidos Finder, Dock y Terminal— cada 210 milisegundos, haciendo que la máquina sea prácticamente inutilizable hasta que la víctima ceda. El bucle puede continuar durante más de tres días seguidos.
Una vez introducidas las credenciales, ClickLock comienza a recopilar y exportar datos. Group-IB dice que eso incluye:
- datos del navegador de Chrome, Firefox, Brave y otros
- inicios de sesión guardados, cookies e información de autocompletar
- datos de monederos de criptomonedas y de extensiones
- material de bóveda de monedero cifrado que puede descifrarse externamente
- datos de gestores de contraseñas
- direcciones de criptomonedas en caché de EVM, Bitcoin, Solana, TRON, TON y Stacks
- historiales de comandos del shell
- configuración FTP de FileZilla y datos de servidores recientes
- información básica del dispositivo
Los datos robados se empaquetan en un archivo .ZIP y se envían a través de la API de bots de Telegram.

Recomendado
El FBI dice que juegos maliciosos en Steam robaron $220,000 en criptomonedas
Group-IB señala que un investigador subió una muestra a VirusTotal a principios de junio, pero la variante pasó desapercibida para los proveedores de seguridad hasta hace poco. La compañía cree que lo más probable es que el malware se esté propagando mediante campañas de ingeniería social de ClickFix, y no se lo ha vinculado a un actor de amenazas específico.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía TechRadar


