Questo nuovo malware per Mac non ti permetterà di usare il tuo computer finché non consegnerai la tua password.

Questo nuovo malware per Mac non ti permetterà di usare il tuo computer finché non consegnerai la tua password.

      Un nuovo ceppo di malware per macOS scoperto di recente sta portando l'ingegneria sociale a un livello inquietante. Invece di sfruttare una vulnerabilità software o rubare silenziosamente informazioni in background, semplicemente si rifiuta di farti usare il tuo Mac finché non digiti la tua password di accesso.

      Chiamato ClickLock, il malware chiude ripetutamente i processi chiave di macOS, disabilita le notifiche, visualizza convincenti richieste di password Apple e intrappola efficacemente gli utenti in un ciclo che termina solo quando viene inserita la password corretta. Una volta che ciò accade, non si limita a rubare la password. Va a caccia di dati del browser, portafogli di criptovalute, credenziali salvate, gestori di password e molto altro.

      Un rapporto di BleepingComputer afferma che i ricercatori di Group-IB dicono che il malware ha già infettato almeno 100 sistemi in 33 paesi da maggio. Ancora più preoccupante, quando è stato caricato per la prima volta su VirusTotal a giugno, nessuno dei motori di sicurezza sulla piattaforma lo ha segnalato come malevolo.

      ClickLock non hackera il tuo Mac. Hackera te.

      A differenza di molte campagne di malware moderne che si basano su exploit zero-day o vulnerabilità di escalation dei privilegi, ClickLock ha successo attraverso la pressione psicologica. Si ritiene che l'infezione inizi con un attacco in stile ClickFix, in cui gli utenti vengono ingannati a copiare e incollare un comando nel Terminale sotto le spoglie di completare un controllo di "verifica umana" di Cloudflare. Mentre una falsa barra di avanzamento della verifica tiene distratta la vittima, il malware scarica silenziosamente i suoi payload in background.

      Allo stesso tempo, disabilita le interruzioni della tastiera, nasconde il cursore del Terminale e sopprime le notifiche del Centro Notifiche di macOS per quasi sei ore, rendendo molto più difficile per le vittime rendersi conto che qualcosa di sospetto sta accadendo.

      Immagine rappresentativa Unsplash

      La caratteristica più inquietante del malware arriva dopo. Visualizza quello che sembra essere un dialogo di password macOS legittimo, completo del vero nome dell'account dell'utente e del marchio Apple. Se la vittima inserisce la password di sistema corretta, ClickLock la convalida immediatamente e invia le credenziali agli attaccanti tramite Telegram.

      Se l'utente rifiuta, il malware non si arrende. Invece, installa meccanismi di persistenza che si riattivano dopo il prossimo accesso. Una volta attivato, ClickLock inizia a terminare processi critici di macOS ogni 210 millisecondi, inclusi Finder, Dock, Terminale, Monitoraggio Attività, Console, Impostazioni di Sistema, Spotlight e persino browser web popolari.

      Il risultato è un Mac che appare quasi completamente inutilizzabile, lasciando solo la richiesta di password visibile sullo schermo. Secondo Group-IB, questo ciclo può continuare per più di 83 ore, o fino a quando la vittima non cede finalmente.

      Vuole molto più della tua password

      La password di accesso è solo l'inizio. ClickLock tenta anche di ingannare le vittime per approvare una vera richiesta di accesso a Keychain che concede il permesso alla chiave di Safe Storage di Chrome. Quella chiave può essere utilizzata in seguito per decrittografare password salvate, cookie e informazioni di completamento automatico dai browser basati su Chromium.

      Il modulo di furto dati del malware lancia una rete eccezionalmente ampia. Prende di mira i profili del browser da Chrome, Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc e Chromium, raccogliendo password salvate, cookie, segnalibri, sessioni di navigazione, archiviazione locale e informazioni di completamento automatico.

      Gli utenti di criptovalute affrontano un rischio ancora maggiore. ClickLock cerca estensioni di portafoglio del browser, file di portafoglio desktop, vault di portafoglio crittografati e indirizzi di portafoglio memorizzati nella cache attraverso i principali ecosistemi blockchain, tra cui Bitcoin, catene compatibili con Ethereum, Solana, TRON, TON e Stacks.

      Immagine rappresentativa Unsplash

      Raccoglie anche configurazioni FTP di FileZilla, cronologia della shell, informazioni di base sul sistema e indirizzi IP pubblici prima di comprimere tutto in archivi ZIP e caricare i dati rubati tramite l'API del Bot di Telegram. Per garantire che gli attaccanti mantengano l'accesso a lungo termine, ClickLock distribuisce una versione modificata dello strumento open-source GSocket, creando una backdoor persistente in grado di controllare da remoto il Mac infetto. A differenza degli altri componenti del malware, che si eliminano dopo l'esecuzione per minimizzare le prove forensi, questa backdoor rimane attiva sul sistema.

      Le tecniche di stealth non finiscono qui. I ricercatori affermano che il malware è ospitato su siti web compromessi ma altrimenti legittimi, aiutandolo a eludere i sistemi di sicurezza basati sulla reputazione. I suoi payload si rimuovono anche dopo l'esecuzione, lasciando pochissime tracce dietro di sé. Nonostante ciò, Group-IB afferma che i difensori possono comunque individuare comportamenti sospetti osservando ripetute finestre di dialogo per la password generate tramite osascript, la continua terminazione dei processi di macOS, l'accesso massiccio alle cartelle dei profili del browser e connessioni in uscita insolite verso Telegram.

      La lezione più importante, tuttavia, è sorprendentemente semplice. Se un sito web ti chiede mai di aprire il Terminale e incollare un comando per dimostrare che sei umano, chiudi immediatamente la pagina. Nessun sito web legittimo, incluso Cloudflare, richiede l'accesso al Terminale per la verifica umana. E se il tuo Mac diventa improvvisamente inutilizzabile mentre richiede ripetutamente la tua password di sistema, resisti all'impulso di conformarti. Invece, forzati a spegnere utilizzando il pulsante di accensione, riavvia in Modalità Sicura e indaga sul sistema prima di inserire qualsiasi credenziale. Nel caso di ClickLock, la tua password non risolve il problema. È esattamente ciò che gli attaccanti stanno aspettando.

Questo nuovo malware per Mac non ti permetterà di usare il tuo computer finché non consegnerai la tua password. Questo nuovo malware per Mac non ti permetterà di usare il tuo computer finché non consegnerai la tua password.

Altri articoli

Microsoft smetterà di sincronizzare OneDrive su versioni più vecchie di Windows 10 il mese prossimo. Microsoft smetterà di sincronizzare OneDrive su versioni più vecchie di Windows 10 il mese prossimo. Gli aggiornamenti di sincronizzazione di OneDrive termineranno il 15 agosto per le versioni di Windows 10 precedenti alla 22H2. Non ci saranno ulteriori correzioni o patch di sicurezza. L'interfaccia web o l'aggiornamento a Windows 11 rimangono opzioni. Apple è in colloqui preliminari di accordo con il DOJ riguardo al suo caso antitrust sull'iPhone. Apple è in colloqui preliminari di accordo con il DOJ riguardo al suo caso antitrust sull'iPhone. Apple ha fatto più offerte per risolvere la causa antitrust del DOJ del 2024. Il capo antitrust dell'amministrazione Trump sta spingendo per risolvere rapidamente i casi ereditati. Tesla ha realizzato una bici senza pedali da $225 per bambini. Non ha motore, né pedali, ed è già esaurita. Tesla ha realizzato una bici senza pedali da $225 per bambini. Non ha motore, né pedali, ed è già esaurita. La Balance Bike di Tesla per bambini è un giocattolo senza pedali e senza motore, con telaio in magnesio, per bambini dai 2 ai 5 anni. È andata esaurita immediatamente. Musk non realizzerà ancora una e-bike per adulti. Microsoft smetterà di sincronizzare OneDrive su versioni più vecchie di Windows 10 il mese prossimo. Microsoft smetterà di sincronizzare OneDrive su versioni più vecchie di Windows 10 il mese prossimo. Gli aggiornamenti della sincronizzazione di OneDrive termineranno il 15 agosto per le versioni di Windows 10 precedenti alla 22H2. Non ci saranno ulteriori correzioni o patch di sicurezza. L'interfaccia web o l'aggiornamento a Windows 11 rimangono opzioni. Il nuovo laptop da gaming di Lenovo è il primo a presentare un display OLED stampato a getto d'inchiostro da 240Hz. Il nuovo laptop da gaming di Lenovo è il primo a presentare un display OLED stampato a getto d'inchiostro da 240Hz. Il nuovo Lenovo Legion R9000P è il primo laptop a presentare un display OLED stampato a getto d'inchiostro, offrendo una frequenza di aggiornamento di 240Hz e oltre il 99% di copertura DCI-P3. Netflix afferma di aver utilizzato l'IA in oltre 300 titoli e ora non c'è modo di fermarla. Netflix afferma di aver utilizzato l'IA in oltre 300 titoli e ora non c'è modo di fermarla. Netflix afferma che l'IA generativa ha contribuito a circa 300 produzioni nel 2026, aiutando i creatori a costruire folle, battaglie, ambienti e altre sequenze in modo più veloce ed economico.

Questo nuovo malware per Mac non ti permetterà di usare il tuo computer finché non consegnerai la tua password.

ClickLock è un nuovo malware per macOS che uccide ripetutamente i processi di sistema e inganna le vittime inducendole a inserire la propria password di accesso per rubare dati sensibili.