Ciberdelincuentes distribuyen malware en X mediante anuncios patrocinados falsos

Miles de usuarios de Mac fueron potencialmente expuestos a malware a través de anuncios fraudulentos en X.
Los criminales usaron la credibilidad de una cuenta real para hacer parecer real lo falso
El ataque funcionó porque provenía de una cuenta verificada con miles de seguidores, lo que permitió que el anuncio fraudulento alcanzara a miles de usuarios.

En las plataformas donde la confianza se construye con verificaciones y seguidores, los delincuentes aprendieron a vestirse con esa misma legitimidad. Una cuenta verificada en X fue utilizada para distribuir malware a usuarios de Mac mediante un anuncio que imitaba una aplicación real, engañando tanto a los sistemas automatizados de la plataforma como a miles de personas que no tenían razón para dudar. El incidente revela una tensión estructural que no se resuelve eliminando un anuncio: los ecosistemas publicitarios digitales siguen siendo territorios donde la apariencia de credibilidad puede convertirse en arma.

  • Una cuenta verificada con miles de seguidores fue secuestrada para lanzar un anuncio patrocinado que dirigía a los usuarios de Mac hacia un dominio malicioso casi indistinguible del original.
  • La técnica ClickFix engañó a las víctimas para que abrieran su propia Terminal y ejecutaran comandos que instalaban malware, disfrazando el ataque como un proceso de instalación legítimo.
  • Los sistemas automatizados de X no detectaron la amenaza porque todos los indicadores superficiales —cuenta verificada, producto aparentemente real, dominio similar— apuntaban a legitimidad.
  • Jamf Threat Labs descubrió la campaña, alertó al propietario de la cuenta y reportó el anuncio a X, que lo eliminó, pero el vector de ataque permanece abierto.
  • Este patrón no es nuevo ni exclusivo de X: Google Ads enfrentó un esquema casi idéntico con anuncios falsos de Homebrew, confirmando que las plataformas publicitarias siguen siendo un flanco crítico.

Una cuenta verificada en X con una base sólida de seguidores fue utilizada para publicar un anuncio patrocinado que promocionaba DynamicLake, una aplicación para Mac que replica la función Dynamic Island del iPhone. El enlace del anuncio no llevaba al sitio real, sino a dynamicmacisland.com, un dominio diseñado para pasar desapercibido ante los sistemas de escaneo automático de la plataforma.

Una vez en el sitio falso, los usuarios recibían instrucciones para abrir Terminal y ejecutar un comando de instalación. Esta táctica, conocida como ataque ClickFix, es ingeniería social con apariencia técnica: el comando no instalaba DynamicLake, sino malware. Miles de usuarios de Mac quedaron potencialmente expuestos antes de que nadie advirtiera lo que estaba ocurriendo.

El éxito del ataque fue estructural. Los criminales no crearon una cuenta falsa ni un anuncio obviamente sospechoso; tomaron prestada la credibilidad de una cuenta legítima cuyos propietarios aprobaron el anuncio de buena fe, sin saber que un dominio malicioso operaba detrás. X vio lo que estaba diseñado para ver: una cuenta real promoviendo un producto aparentemente real.

Jamf Threat Labs descubrió la campaña, contactó al propietario de la cuenta y reportó el anuncio a X, que lo eliminó. Sin embargo, la brecha que permitió el ataque —la distancia entre lo que los sistemas automatizados detectan y lo que los delincuentes logran colar— sigue sin cerrarse. No es la primera vez que aplicaciones relacionadas con Dynamic Island sirven de señuelo, ni la primera vez que una plataforma publicitaria de alcance masivo se convierte en vector de distribución de malware.

A verified account on X was hijacked to distribute malware targeting Mac users, and thousands saw the poisoned advertisement before anyone realized what was happening. The attack worked because it looked legitimate—a sponsored post promoting DynamicLake, a Mac application that mimics the iPhone's Dynamic Island feature. But the link in that ad didn't lead where it claimed. Instead, it sent users to dynamicmacisland.com, a domain so similar to the real thing that X's automated scanning systems let it through.

Once users landed on the fake site, they were instructed to open Terminal and run an installation command. This is the classic move in what security researchers call a ClickFix attack—social engineering dressed up as technical support. The command didn't install DynamicLake. It installed malware. Jamf Threat Labs, the security firm that uncovered the campaign, published their findings on X itself, explaining how the attack had managed to bypass the platform's defenses and reach thousands of people.

The reason the attack succeeded was structural. The account distributing the ad was genuinely verified and had a substantial following. X's systems saw a legitimate account promoting what appeared to be a legitimate product through paid advertising channels. The account owner had approved the ad in good faith, believing it was exactly what it claimed to be. They had no idea a malicious domain was hiding behind the scenes. The criminals had essentially borrowed credibility—using a real account's reputation to make their fake product look real.

This wasn't the first time bad actors had weaponized Dynamic Island-related applications. Security researchers had seen similar campaigns before, all targeting Mac users with the same basic playbook: create a fake app, make the domain look almost identical to the real one, use social engineering to trick people into running code they shouldn't run. What made this incident notable was the scale and the platform. X's advertising system, designed to reach millions, became the delivery mechanism.

Jamf Threat Labs contacted the account owner and reported the malicious ad to X. The platform removed it. But the vulnerability that allowed it to happen in the first place—the gap between what automated systems can catch and what determined criminals can slip through—remains open. Google faced a nearly identical problem when fake Homebrew advertisements made it through Google Ads, targeting Mac users with the same kind of malware distribution scheme. The pattern is clear: advertising platforms, for all their scanning and verification, are still being used as weapons by people who understand how to make something look trustworthy enough to pass inspection.

El propietario de la cuenta aprobó el anuncio creyendo que era totalmente legítimo, sin saber que detrás había un dominio malicioso
— Jamf Threat Labs
The Hearth Conversation Another angle on the story
Inventor

¿Cómo es posible que un anuncio malicioso pase los controles de una plataforma como X?

Model

Porque los sistemas automáticos buscan dominios conocidos como maliciosos. Un dominio nuevo, o uno que se parece mucho al legítimo, puede pasar desapercibido. Además, cuando viene de una cuenta verificada con muchos seguidores, el sistema asume que ya hay un nivel de confianza.

Inventor

Pero ¿el propietario de la cuenta no vio lo que estaba aprobando?

Model

No. Aprobó un anuncio que le parecía completamente legítimo. Los criminales fueron lo suficientemente cuidadosos como para que el anuncio en sí se viera normal. El problema estaba en el destino del enlace, no en cómo se presentaba.

Inventor

¿Cuántas personas fueron realmente infectadas?

Model

No se sabe con certeza. Miles vieron el anuncio. Algunos probablemente hicieron clic. Otros ejecutaron el comando en Terminal. Pero el número exacto de máquinas comprometidas no se ha divulgado.

Inventor

¿Por qué los criminales eligieron DynamicLake específicamente?

Model

Porque es una aplicación real que la gente quiere. Es nueva, es útil, y muchos usuarios de Mac estarían interesados en descargarla. Eso hace que el engaño sea más creíble.

Inventor

¿Esto va a volver a pasar?

Model

Probablemente. Las plataformas publicitarias son objetivos atractivos porque llegan a millones de personas de una vez. Mientras haya un espacio entre lo que los sistemas pueden detectar y lo que los criminales pueden inventar, seguirá habiendo ataques así.

Contact Us FAQ