Una campaña de phishing altamente sofisticada está dirigida a usuarios de macOS con un sitio web falso que imita la página oficial de descarga de Microsoft Teams para distribuir el potente malware “Odyssey”.
Investigadores del equipo TRIAD de CloudSEK identificaron que el ataque utiliza una técnica de ingeniería social conocida como “Clickfix”. Esta táctica engaña a las víctimas para que ejecuten comandos maliciosos en la Terminal de macOS, lo que permite al malware recopilar datos confidenciales, establecer persistencia en el sistema y reemplazar aplicaciones legítimas de criptomonedas por versiones troyanizadas.
Lee esto también: Phishing con Bre-B: Alerta ante el avance del ransomware y la IA
Este ataque de phishing en Microsoft Teams representa una evolución de un ataque previo reportado por Forcepoint en agosto de 2025, en el que se utilizó un sitio falso de TradingView para propagar el mismo software malicioso. Al usar una aplicación empresarial confiable como Microsoft Teams como señuelo, los atacantes amplían su alcance para comprometer a un mayor número de usuarios.
El ataque se inicia cuando el usuario accede a una página web fraudulenta que simula una verificación de seguridad de Microsoft Teams. En ella, se le solicita copiar y ejecutar un comando en la Terminal para resolver un supuesto problema de “tráfico web inusual”. Este tipo de phishing en Microsoft Teams es particularmente peligroso, ya que se aprovecha de la confianza que los usuarios tienen en las herramientas de trabajo colaborativo.
Aunque la página fraudulenta muestra un comando aparentemente inofensivo, el botón “Copiar” inserta en realidad una carga maliciosa de AppleScript codificada en Base64 en el portapapeles del usuario. Al ejecutar este comando en la Terminal, el usuario activa sin saberlo el malware Odyssey.
Funcionamiento del malware Odyssey
Una vez en ejecución, Odyssey despliega una operación en múltiples etapas para comprometer el sistema:
- Robo de credenciales: El script presenta un cuadro de diálogo falso con el mensaje “Ayudante de aplicación requerido. Ingrese la contraseña del dispositivo para continuar”. Este mensaje se repite hasta que el usuario introduce la contraseña correcta, la cual se utiliza para extraer la clave de inicio de sesión de macOS y las credenciales del navegador Chrome.
- Recopilación masiva de datos: El malware realiza un escaneo exhaustivo del sistema infectado, recolectando información personal y financiera. Esto incluye:
- La base de datos completa de Apple Notes (incluidos archivos adjuntos).
- Datos del navegador Safari (cookies y formularios guardados).
- Información de navegadores: Ataca navegadores basados en Chromium (Chrome, Edge, Brave, Opera) y Firefox, robando cookies, datos web e inicios de sesión. También apunta a extensiones específicas como gestores de contraseñas y billeteras de criptomonedas (por ejemplo, MetaMask).
- Carteras de criptomonedas: Copia datos de múltiples carteras de escritorio, incluyendo Electrum, Exodus, Atomic, Wasabi, Ledger Live y Trezor Suite.
- Archivos personales: Busca archivos en las carpetas de Escritorio y Documentos con extensiones como .txt, .pdf, .doc, .wallet y .key, recopilando hasta 10 MB para su extracción.
- Exfiltración de datos: Toda la información recolectada se comprime en un archivo llamado out.zip y se envía a un servidor de comando y control (C2) con la dirección IP 185.93.89.62, que también aloja el panel de control del kit de herramientas Odyssey Stealer.
Para protegernos, es esencial ser vigilantes: nunca ejecutes comandos de fuentes no verificadas y siempre confirma la autenticidad de los sitios web. La mejor defensa contra estas tácticas es la educación y una sólida higiene digital.
