Malware notnullOSX: La nueva amenaza que roba criptomonedas en macOS

El ecosistema de seguridad de Apple, históricamente percibido como una fortaleza inexpugnable, se enfrenta hoy a una de sus amenazas más sofisticadas y quirúrgicas hasta la fecha. El descubrimiento del Malware notnullOSX ha enviado ondas de choque a través de la comunidad de criptoactivos, no por su capacidad de infección masiva, sino por su inquietante enfoque en la “calidad sobre la cantidad”. A diferencia de otros infostealers que lanzan redes amplias esperando capturar cualquier dato, este nuevo espécimen de malware está diseñado para un solo propósito: identificar y despojar a usuarios de macOS que posean carteras de criptomonedas con un valor superior a los 10,000 dólares.

El surgimiento del Malware notnullOSX y el retorno de alh1mik

La cronología de esta amenaza se remonta a finales de marzo de 2026, cuando los primeros indicios de una campaña altamente dirigida aparecieron en regiones como Vietnam, Taiwán y España. Sin embargo, el linaje del Malware notnullOSX es mucho más profundo. Los investigadores de Moonlock Lab han rastreado el origen de este código hasta un actor de amenazas conocido anteriormente como “0xFFF”. Este individuo, una figura prominente en los foros de cibercrimen clandestinos como XSS, desapareció en 2023 tras un altercado público y sospechas de vigilancia estatal.

Su reaparición en agosto de 2024 bajo el pseudónimo de “alh1mik” no fue casual. Prometió a la comunidad underground una herramienta de nueva generación, escrita desde cero en el lenguaje de programación Go (Golang), optimizada específicamente para evadir las protecciones nativas de macOS. El resultado es notnullOSX, una pieza de software modular que combina capacidades de stealer tradicional con funciones avanzadas de puerta trasera (backdoor) y manipulación de aplicaciones en tiempo real.

Vectores de infección: Ingeniería social de múltiples capas

Lo que hace que el Malware notnullOSX sea particularmente peligroso es la sofisticación de su despliegue inicial. Los atacantes no dependen de vulnerabilidades de “día cero” (0-days) costosas; en su lugar, explotan la psicología del usuario avanzado de macOS mediante dos rutas principales:

• El falso conector de Google API: La víctima recibe un enlace a un documento de Google supuestamente “protegido”. Al intentar abrirlo, se muestra una interfaz fraudulenta muy convincente que alega un error de cifrado debido a un “Google API Connector” desactualizado. Se ofrecen dos soluciones que terminan en la ejecución del malware.
• Campaña “ClickFix” vía Terminal: Una de las opciones de “reparación” presenta un comando de Terminal codificado en Base64. El atacante apuesta a que los desarrolladores y entusiastas de cripto están acostumbrados a copiar y pegar comandos para solucionar problemas técnicos. Al ejecutarlo, se descarga un script de shell que elimina el atributo de cuarentena de Gatekeeper e instala el binario malicioso.
• Aplicaciones de fondo de pantalla fraudulentas: Mediante canales de YouTube secuestrados (algunos con más de 10 años de antigüedad y miles de suscriptores), los atacantes promocionan una aplicación llamada “WallSpace”. Se presenta como una utilidad legítima de fondos de pantalla animados para Mac, pero el archivo DMG distribuido contiene el payload de notnullOSX.

El filtro manual: El umbral de los 10,000 dólares

A diferencia de la mayoría del malware automatizado, los operadores de notnullOSX utilizan un panel de afiliados que requiere una intervención humana crítica antes de proceder con el robo total. El sistema utiliza formularios de envío donde los operadores deben verificar manualmente tres puntos clave:

1. La dirección de la cartera (wallet) de la víctima.
2. El saldo actual de la cuenta, que debe ser de al menos $10,000 USD.
3. Perfiles de redes sociales y antecedentes de comunicación para evaluar el perfil del objetivo.

Este enfoque de “guante blanco” permite a los atacantes mantener un perfil bajo. Al no atacar a usuarios con saldos pequeños, evitan generar ruidos innecesarios en los sistemas de telemetría de las empresas de seguridad y se aseguran de que cada infección exitosa sea altamente rentable.

Anatomía técnica del Malware notnullOSX: Por qué macOS es vulnerable

El uso de Golang para el desarrollo de esta amenaza no es una elección estética. Go permite a alh1mik crear binarios estáticos que incluyen todas las bibliotecas necesarias, facilitando su ejecución en diferentes versiones de macOS sin dependencias externas. Además, su naturaleza modular permite actualizar funciones específicas a través de canales de WebSockets en tiempo real.

Abuso del acceso total al disco (Full Disk Access)

Una de las fases más críticas tras la infección es la obtención de permisos. El Malware notnullOSX guía al usuario, a través de interfaces engañosas, para que otorgue manualmente Acceso Total al Disco (FDA) en la configuración del sistema. Una vez que se concede este permiso, las defensas de Transparencia, Consentimiento y Control (TCC) de Apple quedan neutralizadas.

Con este nivel de acceso, el malware puede extraer silenciosamente:

• Historial de iMessage: Para buscar frases semilla o contraseñas compartidas accidentalmente.
• Apple Notes: Una ubicación común donde los usuarios almacenan información sensible de forma insegura.
• Llavero (Keychain): Credenciales guardadas y certificados.
• Cookies de Safari: Permitiendo el secuestro de sesiones de intercambio (exchanges) de criptomonedas sin necesidad de contraseñas o 2FA.

El módulo ReplaceApp: El terror de las carteras de hardware

Quizás la característica más aterradora del Malware notnullOSX es su módulo ReplaceApp. Este componente monitorea el sistema en busca de aplicaciones legítimas de gestión de criptomonedas, como Ledger Live, Trezor Suite, Bitcoin Core o Exodus.

Cuando el malware detecta que el usuario intenta abrir una de estas aplicaciones, interviene y la reemplaza por una versión clonada maliciosa. Esta aplicación falsa es visualmente idéntica a la original, pero está diseñada para interceptar las frases semilla (seed phrases) o las claves privadas en el momento exacto en que el usuario las introduce para realizar una transacción o restaurar su cartera. Al actuar a nivel de software de gestión, el malware logra comprometer incluso los fondos protegidos por dispositivos de hardware, ya que engaña al eslabón más débil: el ser humano frente a la pantalla.

Exfiltración y persistencia mediante C2

La persistencia se logra a través de la creación de un LaunchAgent, asegurando que el malware se inicie cada vez que el usuario inicia sesión. La comunicación con el servidor de Comando y Control (C2) es constante y utiliza protocolos encriptados para evitar la detección por firewalls de red convencionales.

notnullOSX no solo roba archivos; es capaz de recibir comandos remotos para realizar capturas de pantalla, registrar pulsaciones de teclas (keylogging) o descargar módulos adicionales según sea necesario. Esta capacidad de “puerta trasera” significa que, incluso después de un robo inicial, el atacante puede permanecer en el sistema esperando que el usuario deposite más fondos en el futuro.

Estrategias de mitigación para usuarios de alto valor

Para aquellos que manejan activos digitales significativos en macOS, la aparición del Malware notnullOSX redefine las reglas de higiene digital. No basta con confiar en las advertencias de Gatekeeper o en el antivirus nativo XProtect.

Recomendaciones críticas de seguridad:

• Desconfiar de las solicitudes de FDA: Ninguna aplicación legítima de fondos de pantalla o visualizador de documentos debería requerir “Acceso Total al Disco”. Revise periódicamente Ajustes del Sistema > Privacidad y Seguridad > Acceso total al disco.
• Validación de comandos de Terminal: Nunca copie y pegue comandos desde sitios web o documentos de terceros, especialmente aquellos que utilicen cadenas de caracteres ofuscadas (como Base64).
• Uso de Hardware Wallets con precaución: Siempre verifique las transacciones en la pantalla física del dispositivo Ledger o Trezor. Si la aplicación de escritorio le pide que reintroduzca su frase semilla de 24 palabras, asuma que su sistema está comprometido.
• Monitoreo de red: Utilice herramientas como Little Snitch o LuLu para monitorear conexiones salientes inusuales hacia servidores desconocidos.

Conclusión: Una nueva era de ciber-extorsión dirigida

El Malware notnullOSX representa la madurez del cibercrimen en macOS. Al combinar la experiencia técnica de actores veteranos como alh1mik con una estrategia de objetivos de alto valor, los atacantes han creado un modelo de negocio altamente eficiente y difícil de erradicar. Esta amenaza es un recordatorio de que, en el mundo de las criptomonedas, la seguridad no es un estado, sino un proceso continuo. La vigilancia ante la ingeniería social sigue siendo la defensa más robusta contra herramientas diseñadas para saltarse, con un simple clic del usuario, años de innovación en seguridad informática.