Una nueva campaña ha utilizado la técnica del envenenamiento de SEO para convertir la búsqueda en Google de soluciones técnicas para ordenadores macOS en un proceso de distribución de 'malware' en el que intervienen conversaciones legítimas con ChatGPT y Grok.
Cualquier usuario de un ordenador macOS puede recurrir a Google para buscar la forma de solucionar problemas que surjan con su uso, como liberar espacio en el disco; algo aparentemente trivial que los cibercriminales han aprovechado en una nueva campaña maliciosa.
En concreto, han manipulado esta búsqueda, y variaciones como "cómo borrar datos en iMac" o "liberar almacenamiento en Mac", para posicionar en un lugar muy destacado, en la parte superior de los resultados, los enlaces a dos tutoriales generados en ChatGPT y Grok.
Esta técnica se conoce como envenenamiento de SEO y consistente en posicionar en lugares prominentes de los resultados de búsqueda en Google las páginas webs maliciosas, muchas de las cuales simulan la apariencia de webs y foros legítimos, a las que las víctimas acceden creyendo haber encontrado la información que necesitan.
En este caso, dos enlaces llevan a sendas conversaciones con los populares 'chatbots'. Como explican los investigadores de Huntress, son conversaciones reales, mantenidas con ChatGPT y Grok, y alojadas en los servidores de OpenAI y xAI, respectivamente.
En ellas, además de compartir paso a paso las instrucciones para liberar espacio de macOS, las víctimas encuentran frases que refuerzan la sensación de legitimidad, como "elimina de forma segura", "no toca sus datos personales" o "no modifica la configuración del sistema".
El peligro se encuentra en su contenido, en un comando que el tutorial pide copiar y pegar en la Terminal y ejecutar. Al hacerlo, sin darle cuenta, las víctimas están facilitando la instalación silenciosa de un 'malware' que infecta el equipo y permanece en él hasta que se elimina.
Este 'malware', conocido como AMOS (Atomic macOS Stealer) es un ladrón de información diseñado para recopilar credenciales de criptomonederos, inicios de sesión guardados en el navegador, el llavero de macOS, y recopilar todos estos datos y enviarlos a servidores controladores por los cibercriminales.
Con esta campaña de distribución de AMOS, la firma de ciberseguridad afirma que "los atacantes ya no buscan superar el escepticismo del usuario; se aprovechan directamente de su confianza".
El ataque solo requiere que las víctimas busquen, hagan clic y copien y peguen un comando. "Toda la cadena de infección parece un comportamiento normal y seguro. Los usuarios no son descuidados. No ignoran las indicaciones de seguridad. Siguen las instrucciones de una plataforma de IA de confianza, proporcionadas a través de un motor de búsqueda que usan a diario, para una tarea que legítimamente requiere acceso a la Terminal", apostillan.
