Los piratas informáticos se infiltran en los dispositivos Apple con software furtivo y se aprovechan de quienes buscan claves de codificación crípticas

Bybit ha revelado detalles de una campaña de malware macOS de varias etapas dirigida a usuarios que buscan "Claude Code", una herramienta de desarrollo impulsada por IA de Anthropic, según los hallazgos publicados por su Centro de Operaciones de Seguridad (SOC) y compartidos con Finbold el 21 de abril. La compañía dijo que la campaña representa uno de los primeros casos documentados públicamente en los que un intercambio criptográfico centralizado (CEX) ha identificado y analizado una amenaza activa que explota los canales de descubrimiento de herramientas de IA para apuntar a los desarrolladores. Según Bybit, la campaña se identificó por primera vez en marzo de 2026 y se basó en el envenenamiento de la optimización de motores de búsqueda (SEO) para elevar un dominio malicioso a la cima de los resultados de búsqueda de Google. Los usuarios que buscaban “Claude Code” eran redirigidos a una página de instalación falsificada diseñada para parecerse mucho a la documentación legítima. El análisis de Bybit encontró que el ataque implementó una cadena de malware de dos etapas. La carga útil inicial, entregada a través de un cuentagotas Mach-O, instaló un ladrón de información basado en osascript que exhibe características similares a las variantes conocidas de AMOS y Banshee. El ladrón de información ejecutó un proceso de ofuscación de varias fases para extraer datos confidenciales, incluidas las credenciales del navegador, las entradas del llavero macOS, las sesiones de Telegram, los perfiles de VPN y la información de la billetera de criptomonedas. Los investigadores de Bybit identificaron intentos de acceso dirigidos a más de 250 extensiones de billetera basadas en navegador, así como múltiples aplicaciones de billetera de escritorio. Una carga útil de segunda etapa introdujo una puerta trasera basada en C++ que presenta técnicas de evasión avanzadas, como detección de espacio aislado y configuración de tiempo de ejecución cifrado. El malware estableció persistencia a través de agentes a nivel de sistema y permitió la ejecución remota de comandos a través de sondeos basados ​​en HTTP, lo que permitió a los atacantes mantener un control continuo sobre los dispositivos comprometidos. La investigación también descubrió tácticas de ingeniería social, incluidas solicitudes de contraseñas falsas de macOS utilizadas para validar y almacenar en caché las credenciales de los usuarios. En algunos casos, los atacantes intentaron reemplazar aplicaciones de billetera legítimas, como Ledger Live y Trezor Suite, con versiones troyanizadas alojadas en infraestructura maliciosa. Bybit dijo que su SOC aprovechó los flujos de trabajo asistidos por IA durante todo el ciclo de vida del análisis de malware, reduciendo significativamente los tiempos de respuesta y manteniendo la profundidad analítica. La clasificación inicial y la clasificación de la muestra de Mach-O se completaron en cuestión de minutos, y los modelos de IA señalaron similitudes de comportamiento con familias de malware conocidas. Según la compañía, la ingeniería inversa asistida por IA y el análisis de flujo de control redujeron la inspección profunda de la puerta trasera de la segunda etapa de unas seis a ocho horas estimadas a menos de 40 minutos. Los canales de extracción automatizados identificaron indicadores de compromiso, incluida la infraestructura de comando y control, firmas de archivos y patrones de comportamiento, que se asignaron a marcos de amenazas establecidos. Estas capacidades permitieron la implementación de medidas de detección el mismo día. La generación de reglas asistida por IA respaldó la creación de firmas de amenazas y reglas de detección de puntos finales, que fueron validadas por analistas antes de ser enviadas a entornos de producción. Bybit dijo que los borradores de informes generados por IA redujeron el tiempo de respuesta, lo que permitió finalizar los resultados de inteligencia sobre amenazas aproximadamente un 70% más rápido que los flujos de trabajo tradicionales. "Como uno de los primeros intercambios de cifrado en documentar públicamente este tipo de campaña de malware, creemos que compartir estos hallazgos es fundamental para fortalecer la defensa colectiva en toda la industria", dijo David Zong, jefe de seguridad y control de riesgos del grupo en Bybit. "Nuestro SOC asistido por IA nos permite pasar de la detección a la visibilidad completa de la cadena de destrucción dentro de una única ventana operativa. Lo que solía requerir un equipo de analistas trabajando en múltiples turnos (descompilación, extracción de COI, redacción de informes, redacción de reglas) se completó en una sola sesión con la IA manejando el trabajo pesado y nuestros analistas brindando juicio y validación. Mirando hacia el futuro, nos enfrentaremos a una guerra de IA. Usar IA para defendernos contra la IA es una tendencia inevitable. Bybit aumentará aún más su inversión en IA para seguridad, logrando niveles mínimos detección de amenazas y respuesta de emergencia inteligente y automatizada”. El malware se dirigió a una amplia gama de entornos, incluidos navegadores basados ​​en Chromium, variantes de Firefox, datos de Safari, Apple Notes y directorios de archivos locales comúnmente utilizados para almacenar información financiera o de autenticación confidencial. Bybit dijo que identificó múltiples dominios y puntos finales de comando y control asociados con la campaña, todos los cuales desde entonces han sido prohibidos para su divulgación pública. El análisis indicó que los atacantes dependían de sondeos HTTP intermitentes en lugar de conexiones persistentes, lo que hacía que la detección fuera más difícil. Según Bybit, la infraestructura maliciosa asociada con la campaña se identificó el 12 de marzo. El análisis completo, las medidas de mitigación y detección interna se completaron ese mismo día. La divulgación pública siguió el 20 de marzo, acompañada de una guía detallada de detección y remediación.