Investigamos una campaña que usa chats de ChatGPT y Google Ads para engañar a usuarios de macOS a ejecutar comandos en Terminal e instalar el troyano MacStealer.
© RusPhotoBank
Expertos en seguridad digital han destapado un esquema inquietante: atacantes se valen de ChatGPT y anuncios de Google para convencer a usuarios de Mac de ejecutar comandos maliciosos en Terminal. El resultado es la instalación encubierta de MacStealer, un troyano capaz de robar contraseñas de iCloud, archivos y datos de tarjetas bancarias.
Según Huntress, la campaña apuntaba a quienes buscaban en Google cómo liberar espacio en macOS. Los atacantes montaron una conversación real en ChatGPT, mantuvieron un intercambio educado sobre métodos para ganar almacenamiento y, con discreción, colaron un comando peligroso. Luego hicieron público el enlace y pagaron por promocionarlo en Google Ads para empujarlo a la parte alta de los resultados. No sorprende que el señuelo funcione: interfaz familiar, tono de ayuda y la promesa de una solución rápida.
Un usuario veía el enlace a un chat de ChatGPT, lo daba por fiable y seguía los pasos de limpieza. Al ejecutar el comando en Terminal, en realidad instalaba AMOS Stealer, una variante de MacStealer que recopilaba contraseñas de forma silenciosa, escalaba privilegios hasta root y aseguraba persistencia en el sistema. La misma táctica se aplicó a chats de Grok en X.
El peligro está en que este método esquiva con eficacia las defensas de macOS. El sistema confía en las acciones que inicia el propio usuario, de modo que no aparecen alertas cuando se introduce un comando manualmente.
Los especialistas piden extremar la prudencia: nunca pegar comandos en Terminal si no se tiene absoluta certeza del origen. Los enlaces patrocinados en Google no son sinónimo de seguridad, y la popularidad de ChatGPT puede alimentar una falsa sensación de confianza. Se trata de uno de los primeros ataques en los que se usan plataformas de IA como cebo, y se espera que este enfoque siga evolucionando.