Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
5348
)
-
▼
julio
(Total:
66
)
-
Vulnerabilidades críticas de JetBrains permiten sa...
-
UNESCO lanza plataforma de ciencia abierta FLOSS
-
Agente de IA aprovecha vulnerabilidad RCE en Langf...
-
Ransomware de navegador cifra fotos de Android med...
-
Cuidado con los anuncios de X: pueden contener mal...
-
Anthropic busca crear su propio chip de IA con Sam...
-
Desactivan Defender, Sysmon y WAF antes de robar c...
-
Vulnerabilidades de ClamAV permiten denegación de ...
-
WinRAR 7.23 corrige vulnerabilidad que provoca cie...
-
Home Assistant 2026.7 revoluciona las automatizaci...
-
SpaceX creará un rival para iPhone con IA
-
¿Fracasará la nueva Steam Machine?
-
FCC prohíbe equipos chinos por riesgos de ciberseg...
-
Nikkei: Malware chino infectó USB del Ejército de ...
-
Alguien le pidió a DeepSeek crear un ransomware en...
-
La Justicia europea confirma la mayor multa de la ...
-
El kit de phishing EvilTokens es mucho más peligro...
-
Ataque FortiBleed vinculado a INC y Lynx Ransomware
-
Extraditan a EE. UU. a presunto miembro de Scatter...
-
Xbox Helix digitalizaría juegos físicos
-
Falla sin parchear en Repo-Server de Argo CD podrí...
-
Sony eliminará el formato físico en PlayStation
-
Troyano bancario Ousaban engaña a usuarios de banc...
-
AMD consigue un 87,4% en ventas del total de placa...
-
Vulnerabilidades RCE en Cursor IDE permiten inyecc...
-
Vulnerabilidad de Apple ‘Hide My Email’ expone cor...
-
Graves fallos en Cursor podrían permitir que la in...
-
Vulnerabilidades críticas en Adobe ColdFusion perm...
-
Amazon recibe multa de 2,25 millones de dólares po...
-
Anuncio de Google instala código malicioso de Clau...
-
Ransomware de navegador creado con IA explota API ...
-
IA encarece luz y condado pide ahorro
-
Meta cobrará suscripciones por hardware ya comprado
-
Extension falsa de Perplexity en Chrome Web Store ...
-
Zen 6 impulsará PS6 y su versión portátil
-
El Phantom Squatting aprovecha dominios alucinados...
-
Corea del Sur invertirá 520.000 millones de dólare...
-
EE. UU. levanta controles de exportación sobre Cla...
-
Nuevo ataque "BioShocking" manipula navegadores co...
-
Múltiples vulnerabilidades de Apache Tomcat permit...
-
NotebookLM crea vídeos cortos desde tus apuntes
-
Claude Sonnet 5: más barata y potente
-
Anthropic reactiva Claude Fable 5 tras el levantam...
-
Citrix corrige seis vulnerabilidades de NetScaler ...
-
GIGABYTE lanza la AORUS RTX 5080 INFINITY
-
Actualización de Chrome corrige 382 vulnerabilidad...
-
Cientos de millones de intentos de Password Spray ...
-
Un coleccionista de tarjetas gráficas muestra cole...
-
Expertos en ciberseguridad pierden la fe en las he...
-
GuardFall revela que los agentes de IA de código a...
-
Explotan vulnerabilidad RCE en Langflow para despl...
-
Reserva tu nombre en WhatsApp
-
Claude Code de Anthropic usaría código oculto para...
-
X lanza servidores MCP para conectar Cursor, Claud...
-
IBM lidera con chip de 0,7 nm para IA
-
Expertos en seguridad engañaron a LLMs para obtene...
-
Usan malware SystemBC para ocultar tráfico C2 y ma...
-
Nueva puerta trasera de Windows Mistic permite eje...
-
Vulnerabilidades en AirDrop y Quick Share permiten...
-
Ford vuelve a contratar humanos tras fallos de la IA
-
Apple se quedará sin memorias de CXMT al priorizar...
-
IA reemplazará antes a programadores que a camioneros
-
Donkey Kong 64 llega a PC este verano
-
Vulnerabilidad de SimpleHelp explotada para desple...
-
Microsoft extiende la disponibilidad de hotpatchin...
-
AMD avisa a sus socios: las GPU Radeon volverían a...
-
-
▼
julio
(Total:
66
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Diez sitios web permiten conseguir eBooks gratuitos de forma legal como complemento ideal para los lectores de libros electrónicos.
-
Selección de 75 juegos para PC con pocos requisitos y buenos gráficos, ideales para disfrutar en equipos antiguos sin necesidad de actuali...
-
Un coleccionista presenta una impresionante muestra de tarjetas gráficas ATI-AMD de gama alta que recorre 40 años de historia de la marca...
Anuncio de Google instala código malicioso de Claude para secuestrar macOS
Un anuncio patrocinado de Google que suplanta la CLI de Claude Code de Anthropic ha sido detectado distribuyendo "MacSync Stealer", un recolector de credenciales para macOS que también troyaniza silenciosamente las aplicaciones Ledger Live y Ledger Wallet para robar frases semilla de criptomonedas.
La campaña fue descubierta y completamente analizada mediante ingeniería inversa por investigadores de Beelzebub Labs, utilizando su plataforma de inteligencia de amenazas agentica Caronte, después de que se enviara un comando de terminal sospechoso para su análisis.
El Gancho: Un Anuncio Patrocinado que Suplanta a Claude Code
Al buscar en Google "claude code mac install", aparecía un resultado patrocinado titulado "Install Claude macOS", posicionándose por encima del listado real de Anthropic.

Hacer clic en él te llevaba a una página de instalación falsa alojada en sites.google.com, diseñada para imitar estrechamente la imagen de marca de Anthropic, completa con un contador fabricado de "más de 12 millones de descargas" y un botón de un solo clic para copiar un comando de terminal malicioso.
La elección de Google Sites como plataforma de alojamiento es deliberada. Google Sites renderiza su contenido utilizando JavaScript, por lo que los escáneres de seguridad automatizados y los proxies corporativos que obtienen páginas sin ejecutar JavaScript solo ven una estructura vacía y marcan el enlace como seguro.
Sin embargo, el navegador de un visitante humano ejecuta el script y carga la página falsa completa. Combinado con un dominio de sites.google.com confiable que está en casi todas las listas blancas, el atacante obtiene un gancho que es efectivamente invisible para la detección automatizada mientras sigue siendo totalmente convincente para una persona real.
La página también incluye una guía de "¿Nuevo en la Terminal?" para usuarios con menos experiencia. Un paso muestra una animación falsa de la instalación completándose, que incluye la línea "Escribe la contraseña de administrador: **** ✓". Esto es una preparación deliberada: la página te enseña, antes de que ejecutes un solo comando, que escribir una contraseña de administrador es una parte normal y esperada de la instalación de Claude Code.

Cuando aparece un cuadro de diálogo de contraseña falso momentos después, no sospechas; simplemente estás siguiendo los pasos que te acaban de mostrar.
La Cadena de Ataque, Paso a Paso
Todo el compromiso se desarrolla en seis etapas vinculadas, pasando de un simple clic en un anuncio al robo total de credenciales y, para los poseedores de criptomonedas, un secuestro persistente de la billetera.

- Anuncio patrocinado de Google: un resultado de búsqueda pagado suplanta la CLI de Claude Code para términos de búsqueda de desarrolladores.
- Página de instalación falsa: una página de Google Sites imita el sitio de Anthropic y aloja un comando de terminal precargado.
- Comando de Terminal: pegas un comando codificado en Base64 que activa un "dropper" zsh de tres etapas.
- Cuadro de diálogo de contraseña falso: una ventana emergente convincente al estilo de Preferencias del Sistema roba tu contraseña de inicio de sesión de Mac.
- Recolección de credenciales: la contraseña robada desbloquea llaveros, navegadores, extensiones de billetera y credenciales de desarrollador.
- Troyano de la aplicación Ledger: si tienes instalada una aplicación de billetera de hardware, su código es reemplazado silenciosamente para hacer phishing de la frase semilla en el próximo inicio.
Cada etapa depende de la anterior, pero este diseño también significa que la cadena puede romperse. Como se explica más adelante, si reinicias o cierras tu portátil a mitad del proceso, puedes escapar totalmente de las etapas cinco y seis, ya que el archivo de credenciales y el troyano de la billetera solo se activan después de que se completen pasos específicos y bloqueantes.
Etapa Uno: El Dropper de Tres Partes
El comando pegado se decodifica en una cadena simple de "curl-y-ejecutar" que descarga silenciosamente un archivo nombrado según el hash del malware, etiquetado como .daily, lo que sugiere que la carga útil se rota diariamente.
Ese archivo, a su vez, contiene un script comprimido en base64 y gzip, ejecutado con eval. Los nombres de las variables y los identificadores de la carga útil se aleatorizan en cada compilación, una técnica básica para defeating el emparejamiento de cadenas de los antivirus simples.
El script final decodificado se ejecuta completamente en silencio, redirigiendo toda la salida fuera de la terminal, y realiza dos tareas: obtener y ejecutar la carga útil real de robo de credenciales y, posteriormente, subir los datos robados al servidor del atacante en pequeños fragmentos.
Etapa Dos: Robando la Contraseña de Mac
La carga útil de robo de credenciales está escrita en AppleScript y se identifica internamente como MacSync Stealer versión 1.1.2, etiqueta de compilación “claude1”, una referencia explícita al gancho para el que fue creada. Su primer movimiento es forzar el cierre de la Terminal, borrando el comando malicioso del historial visible de la shell antes de que pienses en revisarlo.
Luego necesita tu contraseña de inicio de sesión de Mac y la obtiene mediante un truco bien disfrazado. Usando un comando integrado de macOS que valida una contraseña sin activar ningún aviso del sistema, el script prueba silenciosamente cualquier cosa que escribas.
Muestra una ventana de diálogo falsa, diseñada exactamente como un aviso real de "Preferencias del Sistema" y utilizando el icono de bloqueo genuino de Apple, y simplemente espera, repitiendo el proceso silenciosamente si la contraseña ingresada es incorrecta hasta que se introduce una correcta.
Una vez validada, esa contraseña se utiliza inmediatamente: desbloquea el llavero cifrado de tu Mac y extrae la clave maestra que protege el "Chrome Safe Storage", el mecanismo que los navegadores Chromium usan para cifrar cada contraseña guardada.
Cabe destacar que, incluso si eres una víctima consciente de la seguridad que posteriormente deniega el aviso legítimo de permiso del llavero de macOS que sigue, no escapas: el atacante ya tiene el archivo completo del llavero y la contraseña robada necesaria para descifrarlo fuera de línea.
Etapa Tres: Recolectándolo Todo
Con esa única contraseña, el malware recolecta sistemáticamente una gama extraordinaria de datos: inicios de sesión guardados en más de catorce navegadores basados en Chromium y varios basados en Firefox; más de 80 extensiones de billetera de criptomonedas en el navegador y más de 20 aplicaciones de billetera de escritorio; claves SSH, archivos de configuración de AWS y Kubernetes; sesiones de Telegram desktop; historial de Safari y Notas de Apple; y documentos sensibles (PDFs, archivos clave, configuraciones de VPN) de las carpetas de Escritorio, Documentos y Descargas. Todo se comprime en un solo archivo para su exfiltración.
Troyanizando Ledger Live y Ledger Wallet
Si tienes instalado Ledger Live o Ledger Wallet, el malware no se detiene al robar lo que ya está en el disco. Descarga una versión modificada del código interno de Electron de la aplicación y la intercambia por la original, luego vuelve a firmar la aplicación para que macOS no la marque como dañada. Esto no es un robo de una sola vez, es un secuestro persistente: cada inicio futuro de Ledger Live ejecutará ahora el código del atacante.
Enterrada en ese código modificado hay una única instrucción inyectada, marcada con un comentario en idioma ruso que significa "insertar aquí". Cinco segundos después de que se abra la aplicación —tiempo suficiente para que la interfaz real se cargue y te tranquilice— toda la ventana se redirige silenciosamente a un flujo de "recuperación" falso construido utilizando el arte oficial de incorporación de Ledger.
Te guía a través de un error de dispositivo fabricado y te pide que vuelvas a introducir tu frase semilla de recuperación para "solucionarlo", entregando al atacante el control total de tu billetera.
Un Fallo de Diseño que Favorece a las Víctimas
Los investigadores encontraron una debilidad significativa en la construcción del malware. Tanto el troyano de la billetera como la carga de los datos robados están bloqueados tras una última ventana emergente, un mensaje de error falso que afirma: "Tu Mac no soporta esta aplicación".
Debido a cómo está escrito el script subyacente, este se pausa completamente en ese diálogo y no puede proceder hasta que hagas clic en él.
Esto significa que cualquier persona que fuerce el cierre de la Terminal, cierre su portátil o reinicie su Mac antes de hacer clic en esa ventana emergente final interrumpe la cadena antes de que cualquier dato salga de la máquina y antes de que se toque cualquier aplicación de billetera.
La carpeta temporal de almacenamiento se borra automáticamente cuando macOS se reinicia. Es un caso en el que el propio truco de ingeniería social del atacante —diseñado para que las víctimas se alejen silenciosamente— accidentalmente les da a los usuarios cautelosos una vía de escape.
La exfiltración en sí también es frágil por diseño: los datos robados se suben en pequeñas piezas de diez megabytes a través de una conexión no cifrada, y si falla aunque sea una sola pieza —debido a una caída del Wi-Fi, un reinicio o un firewall— todo el archivo es ilegible para el atacante debido a cómo están estructurados internamente los archivos zip.
Qué Significa Esto para los Desarrolladores
Beelzebub informó del anuncio malicioso a Google, que lo eliminó en 24 horas por violar la política de publicidad, aunque se sabe que los operadores rotan las URLs del gancho regularmente para adelantarse a las eliminaciones.
La lección fundamental para los desarrolladores es sencilla: instala siempre las herramientas de desarrollo de línea de comandos directamente desde la fuente oficial, nunca desde un enlace en un anuncio de búsqueda, y trata cualquier comando de terminal copiado y pegado que contenga texto codificado u ofuscado como una señal de alerta grave, independientemente de cuán legítima parezca la página circundante.
Si alguna vez ejecutaste un comando de instalación sospechoso como este, cambiar tu contraseña de Mac y rotar cualquier credencial guardada en el navegador es una precaución sensata, incluso si no estás seguro de si hiciste clic en el diálogo final.
Fuentes:
https://cybersecuritynews.com/a-weaponized-google-ad-install-malicious-claude-code-to-hijack-entire-macos/


Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.