El malware FrigidStealer ataca a los usuarios de macOS mediante actualizaciones falsas del navegador Safari

El malware FrigidStealer ataca a los usuarios de macOS a través de actualizaciones de navegador falsas, robando contraseñas, billeteras de criptomonedas y notas utilizando métodos de robo de datos basados ​​en DNS.

Una cepa conocida de malware para macOS, FrigidStealer, ataca a los usuarios de Apple mediante mensajes falsos y convincentes de actualización del navegador. Detectada por primera vez en febrero de 2025 y reportada por Hackread.com, esta variante forma parte de la familia de malware Ferret y ya ha afectado a usuarios de Norteamérica, Europa y Asia.

Esta cepa de malware se ha vinculado a TA2726 y TA2727, ambas conocidas por usar actualizaciones falsas del navegador como vector de ataque. También se ha vinculado a un aumento de infecciones en sectores de atención al público, en particular el comercio minorista y la hostelería.

El malware funciona engañando a los usuarios para que descarguen un archivo de imagen de disco (DMG) camuflado en una actualización de Safari . Una vez instalado, elude las protecciones de Apple Gatekeeper solicitando al usuario su contraseña, aprovechando la funcionalidad integrada de AppleScript. A continuación, instala una aplicación maliciosa con el ID de paquete com.wails.ddaolimaki-daunito , lo que le permite integrarse con aplicaciones legítimas.

Una vez activo, FrigidStealer comienza a recopilar datos confidenciales, como credenciales del navegador, archivos del sistema, información de la billetera de criptomonedas e incluso Apple Notes. Estos datos se filtran a un servidor de comando y control mediante consultas DNS enrutadas mediante mDNSResponder de macOS. Tras robar y enviar los datos, el malware finaliza su propio proceso para reducir las posibilidades de detección.

Según Wazuh, una empresa de ciberseguridad de código abierto que identificó a FrigidStealer y compartió su informe técnico con Hackread.com, este malware no se basa en exploit kits ni vulnerabilidades tradicionales. En cambio, se aprovecha de la confianza del usuario en las notificaciones del sistema y las notificaciones de actualización del navegador. Este enfoque lo hace más peligroso, ya que requiere menos sofisticación técnica por parte del atacante, a la vez que mantiene una alta eficacia.

Lo que distingue a FrigidStealer es que utiliza comportamientos específicos de macOS para mantenerse persistente. Se registra como una aplicación en primer plano mediante launchservicesd , interactúa con el sistema mediante comunicaciones no autorizadas de Apple Events y elimina sus rastros tras su ejecución. Los registros del Sistema Unificado de Registros (ULS) de Apple muestran que el malware utiliza nombres de procesos y servicios legítimos para permanecer oculto.

Si usas macOS, ten en cuenta que los atacantes son cada vez más astutos a la hora de engañar a los usuarios. Combinan estafas ingeniosas con conocimiento del funcionamiento del sistema para burlar la seguridad estándar. Incluso con la protección implementada, el primer paso del ataque suele ser que alguien haga clic en un enlace o confíe en un aviso de actualización falso .

Por lo tanto, se recomienda a los usuarios evitar instalar actualizaciones de software provenientes de avisos inesperados o sitios de terceros. Las actualizaciones siempre deben provenir directamente de fuentes oficiales, como la Mac App Store o la herramienta de actualización de software del sistema.