Questo nuovo malware per Mac non ti permetterà di usare il computer finché non consegnerai la tua password.
Un nuovo ceppo di malware per macOS appena scoperto sta portando l'ingegneria sociale a un livello inquietante. Invece di sfruttare una vulnerabilità software o rubare silenziosamente informazioni in background, semplicemente si rifiuta di farti usare il tuo Mac finché non digiti la tua password di accesso.
Chiamato ClickLock, il malware chiude ripetutamente i processi chiave di macOS, disabilita le notifiche, visualizza convincenti richieste di password Apple e intrappola efficacemente gli utenti in un loop che termina solo quando viene inserita la password corretta. Una volta che ciò accade, non si limita a rubare la password. Va a caccia di dati del browser, portafogli di criptovalute, credenziali salvate, gestori di password e molto altro.
Un rapporto di BleepingComputer afferma che i ricercatori di Group-IB dicono che il malware ha già infettato almeno 100 sistemi in 33 paesi da maggio. Ancora più preoccupante, quando è stato caricato per la prima volta su VirusTotal a giugno, nessuno dei motori di sicurezza sulla piattaforma lo ha segnalato come malevolo.
ClickLock non hackera il tuo Mac. Hackera te.
A differenza di molte campagne di malware moderne che si basano su exploit zero-day o vulnerabilità di escalation dei privilegi, ClickLock ha successo attraverso la pressione psicologica. Si ritiene che l'infezione inizi con un attacco in stile ClickFix, dove gli utenti vengono ingannati a copiare e incollare un comando nel Terminale sotto le spoglie di completare un controllo di "verifica umana" di Cloudflare. Mentre una falsa barra di progresso di verifica tiene distratta la vittima, il malware scarica silenziosamente i suoi payload in background.
Allo stesso tempo, disabilita gli interruttori della tastiera, nasconde il cursore del Terminale e sopprime le notifiche del Centro Notifiche di macOS per quasi sei ore, rendendo molto più difficile per le vittime rendersi conto che sta accadendo qualcosa di sospetto.
Immagine rappresentativa Unsplash
La caratteristica più inquietante del malware arriva dopo. Visualizza quello che sembra essere un dialogo di password macOS legittimo, completo del vero nome dell'account dell'utente e del marchio Apple. Se la vittima inserisce la password di sistema corretta, ClickLock la convalida immediatamente e invia le credenziali agli attaccanti tramite Telegram.
Se l'utente rifiuta, il malware non si arrende. Invece, installa meccanismi di persistenza che si riattivano dopo il prossimo accesso. Una volta attivato, ClickLock inizia a terminare processi critici di macOS ogni 210 millisecondi, inclusi Finder, Dock, Terminale, Monitoraggio Attività, Console, Impostazioni di Sistema, Spotlight e persino browser web popolari.
Il risultato è un Mac che appare quasi completamente inutilizzabile, lasciando solo la richiesta di password visibile sullo schermo. Secondo Group-IB, questo loop può continuare per più di 83 ore, o fino a quando la vittima non cede finalmente.
Vuole molto di più della tua password
La password di accesso è solo l'inizio. ClickLock cerca anche di ingannare le vittime per approvare una richiesta di accesso Keychain genuina che concede il permesso alla chiave di Safe Storage di Chrome. Quella chiave può essere utilizzata in seguito per decrittografare le password memorizzate, i cookie e le informazioni di completamento automatico dai browser basati su Chromium.
Il modulo di furto dati del malware lancia una rete eccezionalmente ampia. Prende di mira i profili del browser da Chrome, Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc e Chromium, raccogliendo password salvate, cookie, segnalibri, sessioni di navigazione, archiviazione locale e informazioni di completamento automatico.
Gli utenti di criptovalute affrontano un rischio ancora maggiore. ClickLock cerca estensioni di portafoglio del browser, file di portafoglio desktop, vault di portafoglio crittografati e indirizzi di portafoglio memorizzati nella cache attraverso i principali ecosistemi blockchain, inclusi Bitcoin, catene compatibili con Ethereum, Solana, TRON, TON e Stacks.
Immagine rappresentativa Unsplash
Raccoglie anche configurazioni FTP di FileZilla, cronologia della shell, informazioni di base sul sistema e indirizzi IP pubblici prima di comprimere tutto in archivi ZIP e caricare i dati rubati tramite l'API del Bot di Telegram. Per garantire che gli attaccanti mantengano l'accesso a lungo termine, ClickLock distribuisce una versione modificata dello strumento open-source GSocket, creando una backdoor persistente in grado di controllare da remoto il Mac infetto. A differenza degli altri componenti del malware, che si eliminano dopo l'esecuzione per minimizzare le prove forensi, questa backdoor rimane attiva sul sistema.
Le tecniche di stealth non finiscono qui. I ricercatori affermano che il malware è ospitato su siti web compromessi ma altrimenti legittimi, aiutandolo a eludere i sistemi di sicurezza basati sulla reputazione. I suoi payload si rimuovono anche dopo l'esecuzione, lasciando pochissime tracce dietro di sé. Nonostante ciò, Group-IB afferma che i difensori possono comunque individuare comportamenti sospetti osservando ripetute finestre di dialogo per la password generate tramite osascript, la continua terminazione dei processi di macOS, l'accesso massiccio alle cartelle dei profili del browser e connessioni in uscita insolite a Telegram.
La cosa più importante da ricordare, tuttavia, è sorprendentemente semplice. Se un sito web ti chiede mai di aprire il Terminale e incollare un comando per dimostrare che sei umano, chiudi immediatamente la pagina. Nessun sito web legittimo, incluso Cloudflare, richiede accesso al Terminale per la verifica umana. E se il tuo Mac diventa improvvisamente inutilizzabile mentre richiede ripetutamente la tua password di sistema, resisti all'impulso di conformarti. Invece, forzare uno spegnimento utilizzando il pulsante di accensione, riavviare in Modalità Sicura e indagare sul sistema prima di inserire qualsiasi credenziale. Nel caso di ClickLock, la tua password non sta risolvendo il problema. È esattamente ciò che gli attaccanti stanno aspettando.
Altri articoli
Questo nuovo malware per Mac non ti permetterà di usare il computer finché non consegnerai la tua password.
ClickLock è un nuovo malware per macOS che uccide ripetutamente i processi di sistema e inganna le vittime inducendole a inserire la propria password di accesso per rubare dati sensibili.
