Этот новый вредоносный софт для Mac не позволит вам использовать ваш компьютер, пока вы не сдадите свой пароль.
Новая обнаруженная разновидность вредоносного ПО для macOS поднимает социальную инженерию на тревожный новый уровень. Вместо того чтобы использовать уязвимость программного обеспечения или тихо красть информацию в фоновом режиме, оно просто отказывается позволить вам использовать ваш Mac, пока вы не введете свой пароль для входа.
Названное ClickLock, это вредоносное ПО многократно завершает ключевые процессы macOS, отключает уведомления, отображает убедительные запросы пароля Apple и эффективно запирает пользователей в цикле, который заканчивается только тогда, когда введен правильный пароль. Как только это происходит, оно не просто крадет пароль. Оно нацеливается на данные браузера, криптовалютные кошельки, сохраненные учетные данные, менеджеры паролей и многое другое.
В отчете BleepingComputer говорится, что исследователи из Group-IB утверждают, что вредоносное ПО уже заразило как минимум 100 систем в 33 странах с мая. Еще более тревожно, когда оно впервые было загружено на VirusTotal в июне, ни один из антивирусных движков на платформе не пометил его как вредоносное.
ClickLock не взламывает ваш Mac. Оно взламывает вас.
В отличие от многих современных кампаний вредоносного ПО, которые полагаются на уязвимости нулевого дня или уязвимости повышения привилегий, ClickLock добивается успеха через психологическое давление. Считается, что инфекция начинается с атаки в стиле ClickFix, когда пользователей обманывают, заставляя их копировать и вставлять команду в Terminal под предлогом завершения проверки "человеческой верификации" от Cloudflare. Пока фальшивая строка прогресса верификации отвлекает жертву, вредоносное ПО тихо загружает свои полезные нагрузки в фоновом режиме.
В то же время оно отключает прерывания клавиатуры, скрывает курсор Terminal и подавляет уведомления Центра уведомлений macOS почти на шесть часов, что значительно затрудняет жертвам осознание того, что происходит что-то подозрительное.
Самая тревожная функция вредоносного ПО появляется далее. Оно отображает то, что кажется законным диалогом пароля macOS, полностью с реальным именем учетной записи пользователя и брендингом Apple. Если жертва вводит правильный системный пароль, ClickLock немедленно подтверждает его и отправляет учетные данные злоумышленникам через Telegram.
Если пользователь отказывается, вредоносное ПО не сдается. Вместо этого оно устанавливает механизмы постоянства, которые активируются после следующего входа в систему. Как только это происходит, ClickLock начинает завершать критически важные процессы macOS каждые 210 миллисекунд, включая Finder, Dock, Terminal, Activity Monitor, Console, System Settings, Spotlight и даже популярные веб-браузеры.
В результате Mac кажется почти полностью непригодным для использования, оставляя на экране только запрос пароля. Согласно Group-IB, этот цикл может продолжаться более 83 часов или до тех пор, пока жертва наконец не сдастся.
Ему нужно гораздо больше, чем ваш пароль
Пароль для входа — это только начало. ClickLock также пытается обмануть жертв, заставляя их одобрить законный запрос доступа к Keychain, который предоставляет разрешение на ключ безопасного хранения Chrome. Этот ключ позже может быть использован для расшифровки сохраненных паролей, файлов cookie и информации для автозаполнения из браузеров на основе Chromium.
Модуль кражи данных вредоносного ПО охватывает исключительно широкую сеть. Он нацеливается на профили браузеров из Chrome, Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc и Chromium, собирая сохраненные пароли, файлы cookie, закладки, сеансы просмотра, локальное хранилище и информацию для автозаполнения.
Пользователи криптовалют сталкиваются с еще большей угрозой. ClickLock ищет расширения кошельков браузеров, файлы кошельков на рабочем столе, зашифрованные хранилища кошельков и кэшированные адреса кошельков в крупных блокчейн-экосистемах, включая Bitcoin, совместимые с Ethereum цепочки, Solana, TRON, TON и Stacks.
Оно также собирает конфигурации FTP FileZilla, историю командной строки, основную системную информацию и публичные IP-адреса, прежде чем сжать все в ZIP-архивы и загрузить украденные данные через Telegram Bot API. Чтобы обеспечить злоумышленникам долгосрочный доступ, ClickLock развертывает модифицированную версию инструмента с открытым исходным кодом GSocket, создавая постоянную заднюю дверь, способную удаленно контролировать зараженный Mac. В отличие от других компонентов вредоносного ПО, которые удаляют себя после выполнения, чтобы минимизировать судебные улики, эта задняя дверь остается активной в системе.
Методы скрытности на этом не заканчиваются. Исследователи говорят, что вредоносное ПО размещается на скомпрометированных, но в остальном законных веб-сайтах, что помогает ему избегать систем безопасности, основанных на репутации. Его полезные нагрузки также удаляют себя после выполнения, оставляя очень немного следов. Несмотря на это, Group-IB утверждает, что защитники все еще могут заметить подозрительное поведение, наблюдая за повторяющимися диалоговыми окнами пароля, сгенерированными через osascript, непрерывным завершением процессов macOS, массовым доступом к папкам профилей браузеров и необычными исходящими соединениями с Telegram.
Однако главный вывод, к которому стоит прийти, удивительно прост. Если какой-либо веб-сайт когда-либо попросит вас открыть Terminal и вставить команду, чтобы доказать, что вы человек, немедленно закройте страницу. Ни один законный веб-сайт, включая Cloudflare, не требует доступа к Terminal для человеческой верификации. И если ваш Mac вдруг становится непригодным для использования, постоянно требуя ваш системный пароль, сопротивляйтесь искушению подчиниться. Вместо этого принудительно выключите его с помощью кнопки питания, перезагрузитесь в безопасном режиме и исследуйте систему, прежде чем вводить какие-либо учетные данные. В случае ClickLock ваш пароль не решает проблему. Это именно то, чего ждут злоумышленники.
Другие статьи
Этот новый вредоносный софт для Mac не позволит вам использовать ваш компьютер, пока вы не сдадите свой пароль.
ClickLock — это новый вредоносный софт для macOS, который многократно завершает системные процессы и обманывает жертв, заставляя их вводить свой пароль для входа, чтобы украсть конфиденциальные данные.
