Función de compartir de chatgpt utilizada para propagar atomic macos stealer

Los ciberdelincuentes están utilizando la función de compartir conversaciones de ChatGPT en una nueva campaña que instala Atomic macOS Stealer, conocido como AMOS, en ordenadores Apple mientras se hace pasar por una guía de instalación de un falso “navegador Atlas” para macOS. La operación se dirige a un amplio público de usuarios de macOS y a profesionales atentos a la ciberseguridad que dependen de los motores de búsqueda y de recursos aparentemente oficiales para descubrir nuevas herramientas y resolver problemas técnicos.​

Cómo se explota la función de compartir de chatgpt

Los analistas de seguridad señalan que los atacantes están publicando guías de instalación muy pulidas para un navegador Atlas inexistente como conversaciones compartidas alojadas en el dominio oficial chatgpt.com. Estos chats compartidos se presentan como instrucciones detalladas y legítimas, despojadas de contexto sospechoso, lo que los hace parecer fiables a los usuarios que llegan a ellos a través de búsquedas en internet.​

Para generar tráfico, los actores maliciosos compran anuncios en Google dirigidos a términos como “chatgpt atlas”, que redirigen a los usuarios a direcciones chatgpt.com/share que son indistinguibles de contenido auténtico de OpenAI. Una vez en la página, las víctimas se encuentran con una guía de instalación pulida que les indica copiar un único comando en la Terminal de macOS, presentado como un paso normal para instalar el supuesto navegador.​

De un solo comando a la toma completa del sistema

El comando mostrado en la conversación compartida recupera y ejecuta un script alojado en el dominio atlas-extension.com, que actúa como mecanismo de distribución de AMOS. El script solicita de forma repetida la contraseña del sistema y, cuando el usuario introduce las credenciales correctas, las utiliza para instalar el malware con privilegios elevados y establecer la persistencia en el dispositivo.​

Los investigadores describen este método de ingeniería social como una variante de la técnica conocida como ClickFix, en la que se convence a los usuarios para que ejecuten un comando presentado como corrección, actualización u optimización en lugar de como amenaza. En este caso, la curiosidad en torno a un supuesto nuevo navegador vinculado a ChatGPT se aprovecha para desactivar la cautela habitual, sobre todo entre usuarios acostumbrados a copiar y pegar comandos desde manuales técnicos.​

Amos como infostealer y su nuevo backdoor persistente

Una vez instalado, Atomic macOS Stealer se centra en recolectar datos sensibles, como contraseñas, cookies e información de autocompletado de navegadores como Chrome y Firefox, además de credenciales y activos de monederos de criptomonedas como Electrum, Coinomi y Exodus. El malware también rastrea las carpetas Escritorio, Documentos y Descargas en busca de archivos de texto, PDF y DOCX, y puede capturar datos de sesión de aplicaciones como Telegram Desktop y OpenVPN Connect.​

Análisis recientes muestran que las variantes más nuevas de AMOS incluyen un backdoor integrado que ofrece a los atacantes acceso remoto y persistente a los Mac infectados, incluso después de reinicios del sistema. La firma de ciberseguridad Moonlock indica que se trata solo del segundo caso de una operación de backdoor a escala global en macOS, tras campañas anteriores atribuidas a grupos norcoreanos, y advierte de que AMOS ya se ha detectado en ataques en más de 120 países, entre ellos Estados Unidos, Francia, Italia, el Reino Unido y Canadá.​

Campañas globales y ataques bloqueados

Los informes de inteligencia de amenazas describen a AMOS como uno de los infostealers para macOS más extendidos en la actualidad, ofrecido bajo un modelo de malware como servicio a distintos grupos criminales. Estos grupos combinan técnicas como malvertising, páginas de soporte falsas y ahora chats de IA compartidos para atraer a las víctimas y convencerlas de ejecutar comandos de instalación de una sola línea que superan el escepticismo del usuario y ciertas protecciones nativas.​

CrowdStrike reveló recientemente que su plataforma Falcon bloqueó más de 300 intentos de intrusión entre junio y agosto de 2025 relacionados con SHAMOS, una variante de Atomic macOS Stealer desarrollada por el grupo delictivo Cookie Spider. Estas campañas dependían en gran medida de sitios de ayuda falsos para macOS promocionados mediante publicidad en línea, lo que ilustra cómo stealers comerciales como AMOS se reutilizan y redistribuyen de forma continuada a través de vectores de ingeniería social en constante evolución.​

Recomendaciones de mitigación para usuarios de macos

Los especialistas en seguridad insisten en que los usuarios no deben ejecutar comandos de Terminal copiados de chats no verificados, resultados de búsqueda o guías en línea, aunque el contenido esté alojado en un dominio aparentemente de confianza. Los expertos recomiendan someter cualquier comando desconocido a revisión por parte de equipos de TI o herramientas de análisis independientes y comprobar las descargas de software en los sitios oficiales de los proveedores, en lugar de hacerlo a través de anuncios o páginas intermediarias.​

Los defensores aconsejan a los usuarios de macOS, incluidos los profesionales que gestionan datos sensibles o activos en criptomonedas, utilizar soluciones de seguridad de extremo capaces de detectar AMOS y stealers similares, mantener sistemas y navegadores actualizados y vigilar accesos anómalos a cuentas y monederos. También se anima a las organizaciones a formar a su personal sobre tácticas de tipo ClickFix, que presentan comandos maliciosos como correcciones inofensivas o mejoras de rendimiento.