**Script Editor**, una aplicación confiable de macOS utilizada para escribir y ejecutar scripts (principalmente AppleScript y JXA), está siendo abusada para distribuir malware. Los investigadores han observado una nueva técnica ClickFix que no requiere que los usuarios interactúen manualmente con la Terminal, a diferencia de ataques anteriores. ### Ataque ClickFix Evade Advertencias de la Terminal Si bien **Apple** agregó protecciones contra ataques ClickFix en macOS Tahoe 26.4, que muestra una advertencia al ejecutar comandos en la Terminal, este nuevo ataque basado en Script Editor elude esa medida de seguridad. ### Sitios Falsos con Temática de Apple Distribuyen Malware Investigadores de seguridad en **Jamf** han observado una campaña donde los atacantes utilizan sitios web falsos con temática de Apple que se hacen pasar por guías para ayudar a los usuarios a recuperar espacio en disco en sus Mac. Estos sitios contienen instrucciones de limpieza del sistema aparentemente legítimas, pero utilizan el esquema de URL `applescript://` para lanzar Script Editor con código ejecutable pre-rellenado.  *Fuente: Jamf* ### Desglose Técnico del Ataque El código malicioso ejecuta un comando ofuscado `curl | zsh`, que descarga y ejecuta un script directamente en la memoria del sistema. Este script decodifica un payload base64 + gzip, descarga un binario (`/tmp/helper`), elimina atributos de seguridad usando `xattr -c`, lo hace ejecutable y luego lo ejecuta. ### Payload de Atomic Stealer (AMOS) El payload final es un binario Mach-O identificado como **Atomic Stealer** (AMOS), un servicio de malware como servicio (malware-as-a-service) de tipo "commodity". Este malware se ha desplegado extensamente en campañas ClickFix utilizando diversos señuelos durante el último año. AMOS apunta a una amplia gama de datos sensibles, incluyendo: * Información del Keychain * Archivos del Escritorio * Extensiones de billeteras de criptomonedas * Datos de autocompletado del navegador * Contraseñas * Cookies * Tarjetas de crédito almacenadas * Información del sistema El año pasado, AMOS también agregó un componente de backdoor para proporcionar a los operadores acceso persistente a los sistemas comprometidos. ### Mitigación y Prevención Los usuarios de Mac deben tratar las indicaciones de Script Editor con extrema precaución y evitar ejecutarlas a menos que comprendan completamente el código y confíen en la fuente. Confíe en la documentación oficial de Apple para guías de solución de problemas de macOS. Si bien las **Comunidades de Soporte de Apple** pueden ser útiles, ejerza precaución ya que los consejos pueden no estar libres de riesgos.