infostealers

Malware disfrazado de agentes de IA

Los actores de amenazas están promocionando páginas que contienen instrucciones maliciosas para instalar agentes de IA destinados a la automatización del flujo de trabajo.

Vladimir Gursky
23 Mar 2026

Recientemente, hemos analizado cómo los actores maliciosos están propagando el robo de información de AMOS para macOS a través de Google Ads, aprovechando un chat con un asistente de IA en el sitio web real de OpenAI para alojar instrucciones maliciosas. Decidimos profundizar un poco más, solo para descubrir varias campañas maliciosas similares en las que los atacantes intentan introducir a los usuarios malware disfrazado de herramientas de IA populares a través de anuncios de búsqueda de Google. Si las víctimas están buscando herramientas específicas de macOS, la carga útil implementada es el mismo AMOS; si están en Windows, es el infostealer Amatera. Estas campañas utilizan el popular AI Doubao chino, el asistente de IA viral OpenClaw o el asistente de codificación Claude Code como cebo. Esto significa que dichas campañas suponen una amenaza no solo para los usuarios domésticos sino también para las organizaciones.

La realidad es que el personal corporativo utiliza cada vez más asistentes de codificación como Claude Code y agentes de automatización del flujo de trabajo como OpenClaw. Esto conlleva su propio conjunto de riesgos, razón por la cual muchas organizaciones aún tienen que aprobar (o pagar) oficialmente el acceso a dichas herramientas. En consecuencia, algunos empleados toman el asunto en sus propias manos para encontrar estas herramientas de moda y se dirigen directamente a Google. Allí, escriben una consulta de búsqueda y reciben un enlace patrocinado que conduce a una guía de instalación maliciosa. Echemos un vistazo más de cerca a cómo se desarrolla este ataque, usando como ejemplo una campaña de distribución de Claude Code descubierta a principios de marzo.

La consulta de búsqueda

Por lo tanto, un usuario comienza a buscar un lugar para descargar el agente Anthropic y escribe algo como “Descargar código Claude” en la barra de búsqueda. El motor de búsqueda devuelve una lista de enlaces, con los “enlaces patrocinados” (anuncios pagados) en la parte superior. Uno de estos anuncios lleva al usuario a una página maliciosa con documentación falsa. Curiosamente, el sitio en sí se basa en Squarespace, un creador de sitios web legítimo que lo ayuda a eludir los filtros antiphishing.

Resultados de la búsqueda con anuncios en Rumania y Brasil

El sitio de los atacantes imita meticulosamente la documentación original de Claude Code, con las instrucciones de instalación. Al igual que en el caso real, solicita al usuario que copie y ejecute un comando. Sin embargo, una vez ejecutado, no instala un agente de IA, sino un malware. Esencialmente, esta es solo otra versión del ataque de ClickFix, uno que se ha ganado su propio apodo: InstallFix.

Sitio malicioso que imita las instrucciones de instalación

Sitio genuino de Claude Code con instrucciones de instalación

Carga útil maliciosa

Al igual que con el Claude Code original, el comando para macOS intenta instalar una aplicación mediante la utilidad de línea de comandos curl. En realidad, implementa el spyware AMOS, anteriormente descrito por nuestros expertos en Securelist, que se utilizó en una campaña anterior similar.

En el caso de Windows, el malware se instala mediante la utilidad del sistema mshta.exe, que ejecuta aplicaciones basadas en HTML en lugar de curl, que se utiliza para el código Claude original. Esta utilidad implementa el infostealer Amatera, que recolecta datos del navegador, información de la cartera de criptomonedas, así como información de la carpeta del usuario, y la envía a un servidor remoto en 144{.}124.235.102.

Cómo garantizar la seguridad de tu empresa

El interés en los agentes de IA sigue creciendo, y la aparición de nuevas herramientas y su creciente popularidad están creando nuevos vectores de ataque. Específicamente, intentar buscar herramientas de IA de terceros no solo puede poner en peligro el código fuente de los proyectos en el ordenador de la víctima, sino también poner en riesgo secretos, archivos corporativos confidenciales y cuentas de usuario.

Para evitar que esto suceda, el primer paso debe ser educar al personal sobre estos peligros y los trucos utilizados por los actores de amenazas. Esto se puede hacer usando nuestra plataforma de formación: Kaspersky Automated Security Awareness. Por cierto, incluye una lección especializada sobre el uso de la IA en entornos corporativos.

Además, recomendamos proteger todos los dispositivos corporativos con soluciones de ciberseguridad comprobadas.

También sugerimos consultar nuestro artículo publicado anteriormente sobre tres enfoques para minimizar los riesgos de usar la IA en la sombra.

Fuga mental: las vulnerabilidades de las aplicaciones de salud mental

Analizaremos por qué las aplicaciones de salud mental se han convertido en un dolor de cabeza para sus usuarios y cómo minimizar los riesgos de las filtraciones de datos médicos.

Privacidad y niños

Malware disfrazado de agentes de IA

La consulta de búsqueda

Carga útil maliciosa

Cómo garantizar la seguridad de tu empresa

Variaciones de ClickFix

Atribución de malware sin nube

Fuga mental: las vulnerabilidades de las aplicaciones de salud mental

Consejos

Del CVSS a la RBVM: cómo priorizar correctamente las vulnerabilidades

Todo sobre el CVSS: la evolución de la puntuación de vulnerabilidades

Un crypto-robo de 500 millones de dólares

Llueven bitcoin: giveaway falso de Nvidia

Soluciones para el hogar

Empresas pequeñas

Empresas medianas

Corporativo

Securelist

Eugene Personal Blog