-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Nueva campaña de stealer distribuida mediante spearphishing enfocado a sistemas macos
- Publicado: 07/02/2026
- Importancia: Media
- Recursos afectados
El incidente corresponde a una cadena de compromiso multietapa orientada a macOS, iniciada mediante spearphishing con archivos adjuntos camuflados que contienen AppleScript ejecutable.
El archivo actúa como loader inicial, habilitando ejecución local, perfilado del endpoint y establecimiento de comunicación C2 sobre HTTP/HTTPS.
Posteriormente, se despliegan cargas adicionales adaptadas al entorno, incluyendo un implante basado en Node.js que funciona como framework modular. Este implante permite descubrimiento del sistema, ejecución remota de comandos, persistencia y carga dinámica de funcionalidades mediante evaluación de código en tiempo real.
Se observa evasión activa de controles de privacidad de macOS mediante manipulación de TCC, uso extensivo de binarios legítimos del sistema (living-off-the-land), ejecución desde rutas no estándar y operación con mínima huella estática.
Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
- Etiquetas