Nieuwe ClickLock macOS Stealer doodt apps elke 210 ms totdat slachtoffers hun wachtwoord typen

ClickLock-stealereen nieuwe macOS-infostealer, beantwoordt de weigering van een slachtoffer door hun apps on a loop te beëindigen totdat ze het inlogwachtwoord overhandigen. Het arriveert als een commando dat in Terminal wordt geplakt, vraagt ​​om het wachtwoord achter een nep-systeemdialoog, en wanneer het slachtoffer annuleert, installeert het twee LaunchAgents en sluit het stilletjes af.

Bij de volgende keer inloggen verdwijnen Finder, het Dock, Spotlight, Terminal, Activity Monitor en de belangrijkste browsers elke 210 milliseconden, gedurende maximaal 83 uur, waardoor er één wachtwoordvak op een dood bureaublad achterblijft. Typ het en de machine geeft de sleutelhanger, de browsergegevens en de crypto-wallets op.

De telemetrie van Groep-IB telt sinds mei minstens 100 doelen in 33 landen, waarvan meer dan de helft in Europa. De analisten gaan er op basis van de codestructuur van uit dat de malware nog in ontwikkeling is. Het Orchestrator-script, dat op 9 juni naar VirusTotal werd geüpload, had daar geen detecties toen Group-IB het analyseerde.

En de analisten hebben de voordeur nooit gevonden. Ze hebben de hele ladingketen en niet één van de lokpagina’s. De IOC-lijst bevat drie gecompromitteerde payload-hosts en een no-lure-domein: het ontwerp van de landingspagina, de domeinen die deze bedienen en wat er ook maar verkeer naartoe drijft, zijn allemaal onbevestigd.

Na een voltooide run heeft de operator het gevalideerde macOS-inlogwachtwoord, de Safe Storage AES-sleutel van Chrome en een ZIP met browsergegevens en cookies, opslag van crypto-walletextensies, desktopportemonneebestanden, kluizen voor wachtwoordbeheer, de sleutelhanger, shell-geschiedenis en de opgeslagen servergegevens van FileZilla.

De Safe Storage-sleutel is de sleutel die lang meegaat. Het codeert de opgeslagen wachtwoorden en cookies van Chrome op schijf, dus Login Data En Cookies worden offline gedecodeerd, op de machine van de aanvaller, wanneer ze er ook maar bij komen. Het advies van Group-IB aan iedereen die dit heeft uitgevoerd: trek actieve browsersessies in, behandel elk opgeslagen wachtwoord, cookie en portemonneesleutel als verdwenen, en wijzig ze.

Voldoe nu, of voldoe bij de volgende login

De weigerende gebruiker is geen randgeval. Daar is het ontwerp voor bedoeld. Annuleer het eerste dialoogvenster en het script verdwijnt com.authirity.plist En com.chromer.plist naar binnen ~/Library/LaunchAgents/en vertrekt dan.

De eerste activeert de kill-lus van 210 milliseconden totdat er een wachtwoord terechtkomt. De tweede lanceert zijn eigen kill-loop met tussenpozen van 0,2 seconden gedurende maximaal 3.000.000 seconden, ongeveer 34,7 dagen, terwijl een achtergrondproces elke halve seconde de sleutelhanger vraagt ​​om de Safe Storage-sleutel van Chrome.

Die vraag roept een echte macOS-prompt op, en de lus houdt de desktop gegijzeld totdat het slachtoffer het goedkeurt. Activity Monitor en Terminal staan ​​op beide kill-lijsten. Een derde lus sluit NotificationCenter zes uur lang af, dus er wordt geen Gatekeeper-waarschuwing weergegeven. Als Terminal geen volledige schijftoegang heeft, opent de orkestrator Systeeminstellingen in het rechterdeelvenster en begeleidt het slachtoffer bij het verlenen ervan.

De voorkant is ClickFix. Group-IB beoordeelt dat met veel vertrouwen en heeft het nog nooit gezien. Het script duurt a RAY_ID als eerste argument en wordt geopend met een nep-Cloudflare CAPTCHA-banner boven een voortgangsbalk die twaalf statusregels in tien seconden doorloopt. Geen van beide doet iets. Ze zijn er om iemand gerust te stellen die zojuist een commando in een terminal heeft geplakt.

Onder, script.sh schakelt toetsenbordonderbrekingen uit, verbergt de cursor en haalt vier payloads op van twee gecompromitteerde sites. Tweepijp rechtstreeks in bash. Twee landen in een verborgen $HOME/.cacheb/. De zachte vraag is een osascript dialoogvenster met een gedownload Apple-pictogram en de echte gebruikersnaam van het slachtoffer, en wat er ook wordt getypt, wordt gecontroleerd dscl /Local/Default -authonly Ten eerste, dus alleen een werkend wachtwoord is de moeite waard om te verzenden.

Bijna niets daarvan is nieuw. Microsoft heeft hetzelfde gedocumenteerd dscl validatie in SHub Stealer in mei, naast AMOS en MacSync in dezelfde golf van macOS ClickFix-campagnes. Telegram exfil en LaunchAgent-persistentie zijn standaard.

De achterdeur, gojimis voor grofweg 80 procent een kopie van het openbare implementatiescript voor GSocket, een open-source tunnelingtoolkit van The Hacker’s Choice. De auteurs pitchen de gs-netcat component als een gecodeerde omgekeerde achterdeur die geen eigen C2-server nodig heeft. In plaats daarvan rijdt het een estafette.

Groep-IB heeft deze kopie getraceerd naar een operatorrelais op gsnc(.)eu:67waarbij het binaire bestand uit gsocket.io zelf wordt gehaald. De stealer-payloads bevinden zich op drie gecompromitteerde domeinen met een schone reputatie, waarvan één een gehackte WordPress-site, en de buit vertrekt via drie Telegram-bots. Groep-IB constateerde geen speciale commando- en controle-infrastructuur.

Op macOS landt het binaire bestand als iCloud in ~/Library/Application Support/iCloudsync en het proces verloopt als SystemUIServerléén letter afwijkend van de echte.

Apple heeft al geprobeerd deze deur te sluiten

macOS 26.4 werd eind maart uitgebracht. Het waarschuwt wanneer Terminal verdachte plakactiviteiten ziet en blokkeert direct alles wat het herkent als bekende malware, een oplossing waar Microsoft naar verwijst als een direct antwoord op de levering van ClickFix.

Apple’s eigen documentatie laat zien hoeveel ruimte er nog over is: de waarschuwing wordt alleen weergegeven als je Terminal niet regelmatig gebruikt, en wordt geleverd met een knop Hoe dan ook plakken. Het harde blok heeft macOS nodig om de malware al te kennen.

Twee campagnes gingen binnen enkele weken door die kamer, in tegengestelde richtingen. Jamf Threat Labs heeft er in april een gedocumenteerd waarbij de pasta volledig wordt vermeden, met behulp van een applescript:// URL om Script Editor te openen met de payload vooraf geladen, zodat de controle nooit wordt geactiveerd. Thijs Xhaflaire van Jamf schreef: “Wanneer een deur sluit, vinden aanvallers een andere.” ClickLock is de andere. Het hield de pasta vast en werd in plaats daarvan rond de persoon ontwikkeld.

De dwanglus is het enige deel zonder coverstory. Group-IB dekt de subseconde niet af pkill En killall barst los tegen Finder, Dock, SystemUIServer en NotificationCenter: “dit gedrag is uniek voor malware met gedwongen interactie en heeft geen legitiem gebruik.”

De rest van het signaalset:

  • security find-generic-password aangeroepen vanuit een shellscript in plaats van een browser
  • osascript wachtwoorddialoogvensters genereren waaruit pictogrammen worden gehaald /tmp/
  • Bulklezingen van browserprofielmappen gevolgd door verkeer naar api.telegram.org
  • curl doorgesluisd naar bash waar de URL eindigt .jpg, .txt of .css
  • LaunchAgent-creatie in ~/Library/LaunchAgents/ door een shell-proces, gecombineerd met launchctl load

Als een Mac zijn eigen apps begint te beëindigen en een wachtwoordvak op het scherm achterlaat, typ dan het wachtwoord niet. Geen enkele verificatiepagina heeft uw terminal nodig. De controle van Cloudflare wordt uitgevoerd in de browser, en dat is het hele punt ervan.

Group-IB zegt de aan/uit-knop ingedrukt te houden totdat de machine wordt uitgeschakeld en vervolgens op te starten in de veilige modus, en de stap Shift-bij-starten is alleen de Intel-procedure. Op Apple Silicon houdt u de aan/uit-knop ingedrukt totdat “Opstartopties laden” verschijnt, selecteert u het volume, houdt u vervolgens Shift ingedrukt en klikt u op Doorgaan in de veilige modus.

Opruimen is ongelijk. De stealer-modules ontladen hun eigen LaunchAgents en vervalsen hun tijdstempels ~/Movies om de tijdlijnanalyse te verbreken en zichzelf te verwijderen. goyim niet. Doorloop de lus, typ het wachtwoord, zie hoe het bureaublad terugkeert, en wat overblijft is een machine die er goed uitziet met een omgekeerde shell erop, die draait als SystemUIServerl uit ~/Library/Application Support/iCloudsync.

De operators van ClickLock zijn in mei gelanceerd, een maand na het ontstaan ​​van de waarschuwing, en gebouwd voor de pasta. Of een van de doelwitten van Groep-IB dit ooit heeft gezien, staat niet in het rapport.

The Hacker News heeft Group-IB gevraagd naar de uitsplitsing van de macOS-versie achter deze doelen en zal dit verhaal bijwerken met elk antwoord.

Thijs Van der Does