Hackeado mientras intentaba demostrar que no era un robot en un sitio recomendado por Gemini
(mytory.net)- Entró a un sitio recomendado mientras conversaba con Gemini
- Al hacer clic en “No soy un robot”, un comando malicioso se copiaba previamente al portapapeles, y luego se le indicaba que, para verificar que era humano, abriera la terminal, lo pegara y presionara Enter.
- Al ejecutarlo, descargaba y ejecutaba un script adicional en formato
curl | bash - Quedaba registrado en
LaunchAgentsde macOS para seguir ejecutándose incluso después de reiniciar o volver a iniciar sesión - Descargaba y ejecutaba AppleScript desde un servidor remoto, mientras intentaba recolectar información y escalar privilegios
En este caso:
- Como no ingresó la contraseña de administrador, el escalamiento de privilegios falló
- Pero es posible que sí se haya accedido o recopilado parte de la información dentro del alcance de los permisos del usuario
Respuesta:
- Cortar de inmediato la conexión de red
- Eliminar el
plistmalicioso de~/Library/LaunchAgents - Finalizar el proceso en ejecución
- Cerrar sesión y volver a iniciar sesión en todas las sesiones del navegador para invalidar las cookies
- Reemplazar las claves SSH
Lecciones:
- Si una página web exige ejecutar comandos locales con el pretexto de “verificación” o “autenticación”, hay que sospechar
- También hay que desconfiar de los sitios recomendados por una IA
- En especial si te inducen a abrir Terminal, el cuadro Ejecutar o PowerShell y pegar algo: casi siempre es este patrón
- Sospechar cuando te piden la contraseña de administrador es el hábito más importante y la última línea de defensa
Para el análisis detallado, los comandos reales y el proceso de respuesta, consulta el texto original
Aún no hay comentarios.