Нова заплаха за macOS блокира компютъра до въвеждане на потребителската парола

Изследователи по киберсигурност са открили нов зловреден софтуер за macOS, наречен ClickLock, който използва техники за социално инженерство, за да принуди потребителите да въведат своята системна парола. Вместо да разчита на експлоатиране на уязвимости в операционната система, заплахата прави компютъра практически неизползваем, докато жертвата не въведе своите идентификационни данни.

Според специалистите от Group-IB, цитирани от BleepingComputer, от май насам ClickLock е засегнал поне 100 устройства в 33 държави. При първото качване на пробата във VirusTotal през юни нито една от използваните антивирусни системи не я е разпознала като злонамерен софтуер.

Атаката започва с подвеждаща проверка

По данни на изследователите заразяването най-често започва чрез т.нар. ClickFix атака. Потребителят попада на страница с фалшива проверка, представяща се като система за удостоверяване на Cloudflare, която го инструктира да отвори приложението Terminal и да постави предоставена команда.

Докато на екрана се показва привиден индикатор за напредъка на проверката, във фонов режим се изтеглят компонентите на зловредния софтуер. Успоредно с това ClickLock потиска системните известия, скрива курсора в Terminal и блокира някои клавишни комбинации, което затруднява откриването на необичайното поведение.

Фалшив прозорец за парола

След инсталирането ClickLock показва прозорец, който визуално наподобява стандартния диалог на macOS за въвеждане на системна парола. Той използва реалното потребителско име и интерфейс, сходен с този на Apple, което може да създаде впечатление, че заявката е легитимна.

Ако потребителят въведе правилната парола, тя се изпраща към нападателите чрез Telegram. При отказ ClickLock активира механизми за постоянно присъствие в системата и след следващото влизане започва да прекратява критични процеси на macOS приблизително на всеки 210 милисекунди.

Сред засегнатите приложения са Finder, Dock, Terminal, Activity Monitor, Console, System Settings, Spotlight, както и популярни интернет браузъри. Това оставя компютъра практически неизползваем, като на екрана остава единствено прозорецът за въвеждане на парола. Според Group-IB този цикъл може да продължи повече от 83 часа.

Кражба на пароли, криптопортфейли и лични данни

Получаването на системната парола е само една от целите на ClickLock. Зловредният софтуер се опитва да получи достъп и до Chrome Safe Storage, което позволява разшифроване на запазени пароли, бисквитки и данни за автоматично попълване в Chromium-базираните браузъри.

Освен това ClickLock събира информация от браузърите Chrome, Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc и Chromium, включително запазени пароли, бисквитки, отметки, сесии, локални данни и информация за автоматично попълване.

Заплахата е насочена и към потребители на криптовалути, като търси разширения за криптопортфейли, файлове на настолни портфейли и други данни, свързани с мрежите Bitcoin, Ethereum, Solana, TRON, TON и Stacks. Освен това събира FTP конфигурации от FileZilla, историята на командния ред, системна информация и публичния IP адрес, след което архивира данните и ги изпраща чрез Telegram Bot API.

За осигуряване на постоянен достъп до компрометираното устройство ClickLock инсталира модифицирана версия на инструмента GSocket, която функционира като постоянен отдалечен бекдор.

Как да се предпазите

Специалистите препоръчват потребителите никога да не изпълняват команди в Terminal, поискани от уебсайт като част от проверка дали са реален човек. Cloudflare и други легитимни услуги не изискват подобни действия.

Ако Mac внезапно започне многократно да показва прозорец за системна парола и стане практически неизползваем, препоръката е устройството да бъде принудително изключено чрез бутона за захранване, след което да бъде стартирано в Safe Mode за проверка на системата, без да се въвеждат исканите идентификационни данни.

Източник: Digital Trends, BleepingComputer

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *