El podcast Fake Empire invita a la industria criptográfica objetivo con macOS AMOS Stealer
Una nueva campaña de phishing se dirige a desarrolladores e influencers de la industria de las criptomonedas con solicitudes de entrevistas falsas que se hacen pasar por un popular podcast de Web3. Los atacantes se hacen pasar por anfitriones y atraen a víctimas desprevenidas a sitios web que imitan plataformas como Streamyard y Huddle para distribuir el malware AMOS Stealer contra dispositivos macOS.
La última estafa surgió solo unas semanas después de otro plan, informado en agosto de 2025, donde los estafadores se hicieron pasar por periodistas de CoinMarketCap para atacar a ejecutivos de criptomonedas en una campaña de phishing.
José A. Gómez Ledesma, analista de inteligencia de amenazas de Quetzal Team, identificó originalmente una campaña de phishing dirigida a personas influyentes y desarrolladores de la industria de las criptomonedas.
Los atacantes se hacen pasar por presentadores y productores del popular podcast Empire y contactan a las víctimas por mensajes directos en redes sociales con el pretexto de entrevistarlas sobre proyectos recientes y pronósticos de mercado. Una vez contactados, les sugieren entrevistar a Streamyard o Huddle, compartiendo enlaces a sitios de phishing que imitan la plataforma elegida.
Al visitar el sitio web, se muestra un mensaje de error que indica que algo salió mal (el navegador es incompatible o no se puede conectar a la plataforma) y que se debe descargar e instalar un cliente de escritorio. A continuación, se descarga un DMG (un disco de instalación de aplicaciones de macOS) que se hace pasar por Huddle o StreamYard.
Al instalar el contenido de DMG, las víctimas en realidad se infectan con AMOS (Atomic macOS) Stealer, una amenaza de tendencia distribuida de forma creativa y que anteriormente se hacía pasar por aplicaciones populares como DeepSeek .
La cadena de infección es bastante elaborada, comenzando con el instalador de DMG, que invoca un script de Bash altamente ofuscado con Base64. El contenido codificado se desofusca, luego se aplica una XOR mediante Perl y, una vez más, se desofusca desde Base64, generando un AppleScript que se ejecuta posteriormente.
Este AppleScript simplemente busca un binario oculto dentro del volumen llamado .Huddle o .Streamyard (tenga en cuenta el punto inicial, que denota un archivo oculto en los sistemas Unix). Este archivo es, de hecho, la muestra de AMOS Stealer.
Al infectarse con AMOS (o prácticamente cualquier ladrón de información), las víctimas ponen su vida digital en manos de delincuentes organizados. Desde aplicaciones bancarias hasta cuentas de juegos, los dispositivos de inicio de sesión, como credenciales y cookies, se venden al mejor postor, a menudo a un precio sorprendentemente bajo.
Algunos viejos consejos siguen vigentes al navegar por internet: no descargues nada que veas y ten cuidado al tratar con desconocidos. Podrías llevarte una sorpresa desagradable.
URL: streamyard.ai
SHA256:69b859db7397a04bb1f1c2ff9d987686b5ce0c64ec8fc716c783ed6dd755e291 SHA256:c275252592228b51b3934a9b3932d269c2f9132caad5f51ae54216ec147a8834
URL: https://x.com/BillyBitcoins
Domain: streamyard.ai
Domain: huddle01.com
URL: huddle01.com
SHA256:f7d138a4fa15215c4e747449f31b2b6b6726aed00a9cc9e3ec830df366c1437f SHA256:af4ba47f760ae08bce49c7b7c16e9dcff7df7eff53f27abc0c2a1eee1cea6085
FilePath: Huddle.Iwv
FilePath: Streamyard.ZTz
SHA256:9665dac619c7d17a2fafd32f2df77f27dc39135d31235a748bd95ac137005e9b SHA256:f7fe593806aa2b2486e2052c582b1b8423b2455bf9392fa42b1d2cb6d98ca897
Pulso de inteligencia original: https://otx.alienvault.com/pulse/68c99d5ca31f8adcc38d0637
HackRead
