Roger Casadejús PérezFull stack web developer y SEO + miembro del blueteam en ciberseguridad web
Infiniti stealer: el malware para mac que rompe la falsa sensación de seguridad
Durante años, buena parte de los usuarios de Mac han vivido con la idea de que macOS era casi inmune al malware. No era del todo cierto, pero la menor cuota de mercado frente a Windows hacía que muchos delincuentes digitales mirasen hacia otro lado. Esa etapa de relativa calma se está acabando, y la aparición de Infiniti Stealer lo deja bastante claro.
El final de la falsa sensación de seguridad en macos
Infiniti Stealer es un nuevo código malicioso diseñado para robar información sensible en ordenadores Mac. Utiliza técnicas de ingeniería social que poco tienen que ver con los viejos virus de antaño. Mediante páginas falsas de verificación, scripts automatizados y mecanismos de evasión, este malware puede hacerse con contraseñas, datos personales e incluso monederos de criptomonedas sin que el usuario note nada raro.
La comunidad de Mac solía dar por hecho que los problemas de virus eran cosa de Windows. Parte de esa confianza venía del propio diseño de seguridad de macOS, pero también de un motivo más práctico: había menos usuarios. Apple ha ido ganando terreno en el mercado europeo, especialmente entre profesionales y empresas. Ahora, los equipos Mac son un objetivo muy apetecible. Sectores como el diseño, el desarrollo de software, las finanzas o el marketing digital trabajan a diario con información de alto valor.
Los investigadores de seguridad han detectado un aumento significativo del malware tipo infostealer en macOS. Este tipo de amenazas se centra en robar credenciales, cookies de sesión, datos de tarjetas y activos de criptomonedas para convertirlos rápidamente en dinero. El malware moderno para Mac ya no se limita a trucos básicos. Es cada vez más común ver técnicas como ejecución sin archivos, uso de AppleScript y aprovechamiento de herramientas nativas del sistema para pasar desapercibido. Esto permite que las infecciones se mantengan activas durante semanas o meses sin levantar sospechas.
Infiniti stealer: el nuevo infostealer especializado en mac
En este contexto irrumpe Infiniti Stealer. Esta amenaza ha sido analizada en detalle por los investigadores de Malwarebytes Labs. Han identificado un patrón de ataque muy concreto. Infiniti Stealer combina dos elementos clave: la técnica de distribución ClickFix y una carga maliciosa escrita en Python. Esta última es compilada con Nuitka, generando un binario nativo para Mac difícil de detectar. La preocupación radica en que no se apoya en vulnerabilidades técnicas complejas, sino en engañar al usuario.
La campaña se basa en páginas que aparentan ser sistemas legítimos de verificación, similares a los conocidos CAPTCHA. Esto ayuda a rebajar la guardia del usuario. Infiniti Stealer demuestra cómo estrategias que funcionaban en Windows están migrando a macOS. Es un síntoma claro de que los delincuentes ya no consideran al sistema de Apple un objetivo de bajo riesgo, especialmente en Europa.
La trampa de clickfix y los falsos captcha
El corazón del ataque reside en la técnica ClickFix aplicada a supuestas verificaciones humanas. El proceso arranca cuando el usuario llega a una página maliciosa que suplanta un sistema de seguridad. A primera vista, parece un simple test para confirmar que no se trata de un bot. En lugar de pedir al usuario que marque casillas o identifique imágenes, la página muestra un mensaje que solicita copiar y pegar un comando en el Terminal de macOS.
Todo se presenta de forma convincente, facilitando que muchos caigan en la trampa. Ese supuesto comando de verificación es, en realidad, código malicioso que descarga y ejecuta la carga útil de Infiniti Stealer. Una vez pegado en el Terminal y ejecutado, el sistema inicia la descarga de los archivos necesarios, normalmente mediante herramientas estándar como curl o scripts bash. Es importante recordar que ningún CAPTCHA legítimo ni Cloudflare pide copiar y pegar comandos en el Terminal.
Desde el comando al robo de datos: así opera infiniti stealer
Una vez que el usuario ejecuta el comando proporcionado, se pone en marcha una cadena de acciones estructurada. Primero se descarga una carga útil que genera un binario nativo de alrededor de 8,6 MB. Este binario funciona de manera autónoma en macOS sin depender de componentes externos. Se mantiene en segundo plano, evitando mostrar ventanas o notificaciones visibles para no levantar sospechas. Así, el equipo parece funcionar con normalidad, mientras el malware rastrea y recolecta información.
Entre los objetivos principales se encuentran los navegadores basados en Chromium y Firefox. Estos almacenan gran cantidad de credenciales, cookies y datos de autocompletado. También se dirige al llavero de macOS, donde se guardan contraseñas, certificados y otros secretos sensibles. Infiniti Stealer puede capturar tokens de sesión activos y cookies válidas, permitiendo a los atacantes acceder a cuentas online sin necesidad de introducir usuario y contraseña. Esto incluye saltarse sistemas de autenticación en dos pasos cuando la sesión ya está abierta.
Capacidades técnicas y exfiltración de información
Infiniti Stealer destaca por combinar un enfoque nativo en macOS con técnicas de evasión. La generación de un binario propio complica el trabajo de algunas soluciones de seguridad que se centran en scripts o comportamientos más conocidos. El malware es capaz de extraer datos de una amplia gama de navegadores, lo que representa una porción relevante del uso en Europa. Además, puede acceder al llavero de macOS y a certificados almacenados. Esta información es crítica para comprometer servicios profesionales.
Una vez recopilados, los datos robados se envían a servidores controlados por los atacantes mediante conexiones cifradas. Este uso de canales seguros dificulta que las herramientas tradicionales detecten fácilmente la exfiltración, pues el tráfico se mezcla con otras comunicaciones legítimas. La combinación de credenciales, tokens y claves API permite a los atacantes pivotar de un Mac comprometido hacia infraestructuras completas de empresa, repositorios de código y servicios financieros vinculados al equipo afectado.
Un cambio de foco: mac deja de ser un objetivo menor
Casos como el de Infiniti Stealer confirman algo que los analistas de seguridad llevan advirtiendo: macOS ha dejado de ser un blanco secundario. El creciente número de usuarios y la presencia del Mac en departamentos clave hacen que el potencial beneficio para los delincuentes sea muy elevado. En Europa y España, el uso de Mac se ha extendido en consultorías, estudios creativos y startups tecnológicas. En estos entornos se manejan documentos confidenciales, accesos a plataformas corporativas y cuentas bancarias. Además, la expansión de las criptomonedas añade un incentivo más.
Qué pueden hacer los usuarios de mac para protegerse
Aunque Infiniti Stealer es una amenaza seria, hay varias medidas que ayudan a reducir el riesgo. La primera y más importante es no ejecutar nunca comandos en el Terminal si no se entiende exactamente qué hacen, especialmente si provienen de una página web. Recibir instrucciones para copiar y pegar comandos en el Terminal debería ser motivo de alerta. Mantener el software actualizado también es crucial. Al hacerlo, se asegura que se aplican las últimas correcciones de seguridad.
Usar una solución de seguridad confiable que ofrezca protección en tiempo real y análisis de malware puede marcar la diferencia. La educación sobre ciberseguridad es esencial. Los usuarios deben ser conscientes de las tácticas de ingeniería social y los métodos utilizados por los delincuentes. No hay que confiar ciegamente en la seguridad de macOS, ya que los ataques evolucionan constantemente.