Los investigadores de Jamf han identificado un nuevo infostealer avanzado para macOS, bautizado como DigitStealer, que está circulando bajo la fachada de la popular herramienta de productividad DynamicLake e incluso simulando ser Google Drive para escritorio. Su objetivo principal: equipos Apple Silicon M2 y M3.
1. Un vector de entrega altamente sofisticado
DigitStealer resalta por su nivel de evasión:
Se distribuye mediante un archivo .dmg sin firma titulado DynamicLake.dmg.
Incluye un script bash cargado totalmente en memoria, diseñado para detenerse si detecta que el sistema está:
Ubicado en ciertos países.
Ejecutándose en una máquina virtual.
Basado en Intel o Apple M1 (solo corre en M2+).
Si la verificación pasa, el script descarga cuatro payloads distintos que ejecutan la cadena de ataque.
2. Cadena de ataque: robo, secuestro y persistencia
Payload 1: Infostealer por AppleScript
Solicita la contraseña del usuario y, si este cae en la trampa, comienza a exfiltrar:
Credenciales
Archivos pequeños (documentos, notas)
Información sensible registrada en la base TCC
Payload 2: Robo de navegadores, Keychain y wallets
Este módulo comprime y envía:
Datos de Chrome, Safari, Firefox, Brave
Keychain
VPNs
Telegram (tdata)
Wallets de Ledger, Electrum, Exodus, Coinomi, etc.
Payload 3: Compromiso de Ledger Live
Sustituye el archivo app.asar por una versión troyanizada que:
Redirige la aplicación a un servidor del atacante
Permite manipular o interceptar operaciones del usuario
Payload 4: Persistencia y backdoor dinámico
Instala un Launch Agent que:
Permite el acceso persistente
Descarga nuevos payloads cada vez que inicia el sistema
Incluye inicialmente un backdoor con capacidades completas de AppleScript
3. Ingeniería social: el truco de “arrastrar al Terminal”
Los actores detrás de esta campaña montaron un sitio falso:
dynamiclake[.]org, diseñado para imitar la web legítima.
En esta página instruyen al usuario a arrastrar el archivo al Terminal, un truco que:
Evita Gatekeeper
Permite ejecutar scripts sin firma
Ha sido visto recientemente en falsos repos de GitHub y apps como AirPosture
Este patrón se está volviendo común entre campañas dirigidas a macOS.
4. Riesgos empresariales
DigitStealer no solo roba contraseñas: compromete accesos críticos como:
VPNs corporativas
Claves de Keychain
Workflows internos basados en AppleScript
Cuentas de Telegram utilizadas por equipos de soporte
Wallets de criptomonedas asociadas a proyectos o pagos
Su capacidad de persistencia y actualización dinámica le da un potencial de impacto prolongado dentro de un entorno empresarial.
5. Recomendaciones clave para prevenir infecciones
Verifica el origen del software
Comprueba el sitio oficial del desarrollador
Confirma que el repositorio de GitHub sea el legítimo
Escanea instaladores sospechosos
VirusTotal es una buena primera capa
Nunca arrastres apps al Terminal
Si una web lo pide, es casi seguro que se trata de malware.
Revisa firmas digitales
Utiliza herramientas como Suspicious Package o Objective-See para validar instaladores
Conclusión
DigitStealer demuestra que el ecosistema macOS ya no está exento de amenazas avanzadas. Su enfoque en Apple Silicon M2/M3, su cadena de ataque modular y su uso de técnicas modernas de ingeniería social lo convierten en un riesgo real para usuarios y empresas que confían en macOS para su productividad diaria.
Mantener controles de verificación, educación del usuario y validaciones de software se vuelve esencial frente a este tipo de campañas.
