Questo nuovo malware per Mac non ti permetterà di usare il computer finché non consegnerai la tua password.

Questo nuovo malware per Mac non ti permetterà di usare il computer finché non consegnerai la tua password.

      Un nuovo ceppo di malware per macOS appena scoperto sta portando l'ingegneria sociale a un livello inquietante. Invece di sfruttare una vulnerabilità software o rubare silenziosamente informazioni in background, semplicemente si rifiuta di farti usare il tuo Mac finché non digiti la tua password di accesso.

      Chiamato ClickLock, il malware chiude ripetutamente i processi chiave di macOS, disabilita le notifiche, visualizza convincenti richieste di password Apple e intrappola efficacemente gli utenti in un loop che termina solo quando viene inserita la password corretta. Una volta che ciò accade, non si limita a rubare la password. Va a caccia di dati del browser, portafogli di criptovalute, credenziali salvate, gestori di password e molto altro.

      Un rapporto di BleepingComputer afferma che i ricercatori di Group-IB dicono che il malware ha già infettato almeno 100 sistemi in 33 paesi da maggio. Ancora più preoccupante, quando è stato caricato per la prima volta su VirusTotal a giugno, nessuno dei motori di sicurezza sulla piattaforma lo ha segnalato come malevolo.

      ClickLock non hackera il tuo Mac. Hackera te.

      A differenza di molte campagne di malware moderne che si basano su exploit zero-day o vulnerabilità di escalation dei privilegi, ClickLock ha successo attraverso la pressione psicologica. Si ritiene che l'infezione inizi con un attacco in stile ClickFix, dove gli utenti vengono ingannati a copiare e incollare un comando nel Terminale sotto le spoglie di completare un controllo di "verifica umana" di Cloudflare. Mentre una falsa barra di progresso di verifica tiene distratta la vittima, il malware scarica silenziosamente i suoi payload in background.

      Allo stesso tempo, disabilita gli interruttori della tastiera, nasconde il cursore del Terminale e sopprime le notifiche del Centro Notifiche di macOS per quasi sei ore, rendendo molto più difficile per le vittime rendersi conto che sta accadendo qualcosa di sospetto.

      Immagine rappresentativa Unsplash

      La caratteristica più inquietante del malware arriva dopo. Visualizza quello che sembra essere un dialogo di password macOS legittimo, completo del vero nome dell'account dell'utente e del marchio Apple. Se la vittima inserisce la password di sistema corretta, ClickLock la convalida immediatamente e invia le credenziali agli attaccanti tramite Telegram.

      Se l'utente rifiuta, il malware non si arrende. Invece, installa meccanismi di persistenza che si riattivano dopo il prossimo accesso. Una volta attivato, ClickLock inizia a terminare processi critici di macOS ogni 210 millisecondi, inclusi Finder, Dock, Terminale, Monitoraggio Attività, Console, Impostazioni di Sistema, Spotlight e persino browser web popolari.

      Il risultato è un Mac che appare quasi completamente inutilizzabile, lasciando solo la richiesta di password visibile sullo schermo. Secondo Group-IB, questo loop può continuare per più di 83 ore, o fino a quando la vittima non cede finalmente.

      Vuole molto di più della tua password

      La password di accesso è solo l'inizio. ClickLock cerca anche di ingannare le vittime per approvare una richiesta di accesso Keychain genuina che concede il permesso alla chiave di Safe Storage di Chrome. Quella chiave può essere utilizzata in seguito per decrittografare le password memorizzate, i cookie e le informazioni di completamento automatico dai browser basati su Chromium.

      Il modulo di furto dati del malware lancia una rete eccezionalmente ampia. Prende di mira i profili del browser da Chrome, Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc e Chromium, raccogliendo password salvate, cookie, segnalibri, sessioni di navigazione, archiviazione locale e informazioni di completamento automatico.

      Gli utenti di criptovalute affrontano un rischio ancora maggiore. ClickLock cerca estensioni di portafoglio del browser, file di portafoglio desktop, vault di portafoglio crittografati e indirizzi di portafoglio memorizzati nella cache attraverso i principali ecosistemi blockchain, inclusi Bitcoin, catene compatibili con Ethereum, Solana, TRON, TON e Stacks.

      Immagine rappresentativa Unsplash

      Raccoglie anche configurazioni FTP di FileZilla, cronologia della shell, informazioni di base sul sistema e indirizzi IP pubblici prima di comprimere tutto in archivi ZIP e caricare i dati rubati tramite l'API del Bot di Telegram. Per garantire che gli attaccanti mantengano l'accesso a lungo termine, ClickLock distribuisce una versione modificata dello strumento open-source GSocket, creando una backdoor persistente in grado di controllare da remoto il Mac infetto. A differenza degli altri componenti del malware, che si eliminano dopo l'esecuzione per minimizzare le prove forensi, questa backdoor rimane attiva sul sistema.

      Le tecniche di stealth non finiscono qui. I ricercatori affermano che il malware è ospitato su siti web compromessi ma altrimenti legittimi, aiutandolo a eludere i sistemi di sicurezza basati sulla reputazione. I suoi payload si rimuovono anche dopo l'esecuzione, lasciando pochissime tracce dietro di sé. Nonostante ciò, Group-IB afferma che i difensori possono comunque individuare comportamenti sospetti osservando ripetute finestre di dialogo per la password generate tramite osascript, la continua terminazione dei processi di macOS, l'accesso massiccio alle cartelle dei profili del browser e connessioni in uscita insolite a Telegram.

      La cosa più importante da ricordare, tuttavia, è sorprendentemente semplice. Se un sito web ti chiede mai di aprire il Terminale e incollare un comando per dimostrare che sei umano, chiudi immediatamente la pagina. Nessun sito web legittimo, incluso Cloudflare, richiede accesso al Terminale per la verifica umana. E se il tuo Mac diventa improvvisamente inutilizzabile mentre richiede ripetutamente la tua password di sistema, resisti all'impulso di conformarti. Invece, forzare uno spegnimento utilizzando il pulsante di accensione, riavviare in Modalità Sicura e indagare sul sistema prima di inserire qualsiasi credenziale. Nel caso di ClickLock, la tua password non sta risolvendo il problema. È esattamente ciò che gli attaccanti stanno aspettando.

Questo nuovo malware per Mac non ti permetterà di usare il computer finché non consegnerai la tua password. Questo nuovo malware per Mac non ti permetterà di usare il computer finché non consegnerai la tua password.

Altri articoli

Un bug di fatturazione di AWS ha inviato agli utenti addebiti stimati fino a 2,5 trilioni di dollari. Un bug di fatturazione di AWS ha inviato agli utenti addebiti stimati fino a 2,5 trilioni di dollari. Un errore di prezzo unitario in AWS Cost Explorer ha inviato agli utenti fatture che vanno da miliardi a 2,5 trilioni di dollari. Un utente con 0,19 dollari di addebiti ha ricevuto una stima di 2,5 miliardi di dollari. Microsoft smetterà di sincronizzare OneDrive su versioni più vecchie di Windows 10 il mese prossimo. Microsoft smetterà di sincronizzare OneDrive su versioni più vecchie di Windows 10 il mese prossimo. Gli aggiornamenti di sincronizzazione di OneDrive termineranno il 15 agosto per le versioni di Windows 10 precedenti alla 22H2. Non ci saranno ulteriori correzioni o patch di sicurezza. L'interfaccia web o l'aggiornamento a Windows 11 rimangono opzioni. Il Pentagono ha bloccato 155 progetti eolici in 24 stati, sostenendo che i droni possono nascondersi nei parchi eolici. Il Pentagono ha bloccato 155 progetti eolici in 24 stati, sostenendo che i droni possono nascondersi nei parchi eolici. Il congelamento di un anno colpisce 44 GW di capacità e ha costato agli sviluppatori 2 miliardi di dollari. L'industria eolica afferma che è motivato politicamente. È in corso una causa legale. Come riducono i costi di stampa nel tempo le stampanti a serbatoio d'inchiostro? Come riducono i costi di stampa nel tempo le stampanti a serbatoio d'inchiostro? Il prezzo iniziale di una stampante a serbatoio d'inchiostro può essere più alto, ma i costi dell'inchiostro più bassi e il minor numero di ricariche possono renderla un investimento a lungo termine più intelligente per la stampa domestica frequente. Anthropic è in trattative preliminari per affittare $10 miliardi di capacità di calcolo da Meta. Anthropic è in trattative preliminari per affittare $10 miliardi di capacità di calcolo da Meta. L'accordo seguirebbe l'intesa da 1,25 miliardi di dollari al mese di Anthropic con SpaceX Colossus. Meta sta costruendo un'attività cloud per monetizzare 145 miliardi di dollari in spese per infrastrutture di intelligenza artificiale. Un bug di fatturazione di AWS ha inviato agli utenti addebiti stimati fino a 2,5 trilioni di dollari. Un bug di fatturazione di AWS ha inviato agli utenti addebiti stimati fino a 2,5 trilioni di dollari. Un errore di prezzo unitario in AWS Cost Explorer ha inviato agli utenti fatture che vanno da miliardi a 2,5 trilioni di dollari. Un utente con 0,19 dollari di addebiti ha ricevuto una stima di 2,5 miliardi di dollari.

Questo nuovo malware per Mac non ti permetterà di usare il computer finché non consegnerai la tua password.

ClickLock è un nuovo malware per macOS che uccide ripetutamente i processi di sistema e inganna le vittime inducendole a inserire la propria password di accesso per rubare dati sensibili.