Yeni bir macOS infostealer olan ClickLock Stealer, kurbanın şifre vermeyi reddetmesi durumunda uygulamalarını sürekli olarak öldürerek bir anlamda rehin alıyor. Terminal'e yapıştırılan bir komutla gelen bu zararlı yazılım, sahte bir sistem diyaloğu ile şifreyi talep ediyor. Kullanıcı iptal ettiğinde ise iki LaunchAgent yükleyip sessizce çıkış yapıyor. Bir sonraki oturum açmada Finder, Dock, Spotlight, Terminal, Activity Monitor ve büyük tarayıcılar her 210 milisaniyede bir kapanmaya başlıyor; bu durum 83 saate kadar sürebiliyor. Sonuçta masaüstünde sadece bir şifre kutusu kalıyor ve şifre girildiğinde tüm Keychain, tarayıcı kimlik bilgileri ve kripto cüzdanlar ele geçiriliyor.
Group-IB'nin telemetri verilerine göre Mayıs ayından bu yana 33 ülkede en az 100 hedef bulunuyor ve bunların yarısından fazlası Avrupa'da. Analistler, kod yapısından yola çıkarak bu kötü amaçlı yazılımın hala geliştirme aşamasında olduğunu düşünüyor. 9 Haziran'da VirusTotal'e yüklenen orkestratör betiği, Group-IB analiz ettiğinde sıfır tespit almıştı. Analistler ayrıca saldırının ön yüzünü (lure pages) hiçbir zaman bulamadı; IOC listesinde üç ele geçirilmiş yük sunucusu var ancak hiçbir yem alan adı yok. Yani iniş sayfası tasarımı, bu sayfayı sunan alan adları ve trafiği yönlendiren unsurlar henüz doğrulanmadı.
Başarılı bir çalıştırma sonucunda saldırgan, doğrulanmış macOS oturum açma şifresini, Chrome'un Safe Storage AES anahtarını ve tarayıcı kimlik bilgileri, çerezler, kripto cüzdan eklenti deposu, masaüstü cüzdan dosyaları, parola yöneticisi kasaları, Keychain, kabuk geçmişi ve FileZilla'nın kayıtlı sunucu kimlik bilgilerini içeren bir ZIP dosyasını ele geçiriyor. Safe Storage anahtarı en kalıcı olanıdır; Chrome'un kayıtlı şifrelerini ve çerezlerini diskte şifreler, böylece Login Data ve Cookies dosyaları saldırganın makinesinde çevrimdışı olarak çözülebilir. Group-IB, bu yazılımı çalıştıran herkesin aktif tarayıcı oturumlarını iptal etmesini, kaydedilmiş tüm şifre, çerez ve cüzdan anahtarlarını ele geçirilmiş saymasını ve değiştirmesini tavsiye ediyor.
Kullanıcının ilk diyaloğu iptal etmesi durumunda betik, ~/Library/LaunchAgents/ dizinine com.authirity.plist ve com.chromer.plist dosyalarını bırakıp çıkıyor. İlk plist, şifre girilene kadar 210 milisaniyelik öldürme döngüsünü başlatıyor. İkincisi ise 0.2 saniye aralıklarla 3.000.000 saniyeye (yaklaşık 34,7 gün) kadar kendi öldürme döngüsünü çalıştırırken, arka planda bir işlem her yarım saniyede bir Keychain'den Chrome'un Safe Storage anahtarını sorguluyor. Bu sorgu gerçek bir macOS uyarısı oluşturuyor ve döngü, onaylanana kadar masaüstünü rehin tutuyor. Activity Monitor ve Terminal her iki öldürme listesinde de yer alıyor. Üçüncü bir döngü ise NotificationCenter'ı altı saat süreyle öldürüyor, böylece Gatekeeper uyarıları görüntülenemiyor. Terminal'in Tam Disk Erişimi yoksa, orkestratör Sistem Ayarları'nı ilgili panele açıp kullanıcıya erişim izni verme adımlarını gösteriyor.
Uzmanların Görüşleri
Saldırının ön yüzü ClickFix yöntemi. Group-IB bunu yüksek güvenle değerlendiriyor ancak kendileri hiç görmemiş. Betik, ilk argüman olarak bir RAY_ID alıyor ve sahte bir Cloudflare CAPTCHA banner'ı ile on saniyede on iki durum satırı döndüren bir ilerleme çubuğu açıyor. Bunların hiçbiri işlevsel değil; sadece Terminal'e komut yapıştırmış birini rahatlatmak için var. Altında, script.sh klavye kesintilerini devre dışı bırakıyor, imleci gizliyor ve iki ele geçirilmiş siteden dört yük çekiyor. İkisi doğrudan bash'a yönlendiriliyor, ikisi gizli $HOME/.cacheb/ dizinine iniyor. Yumuşak talep ise indirilmiş bir Apple simgesi ve kurbanın gerçek kullanıcı adını taşıyan bir osascript diyaloğu; girilen şifre önce dscl /Local/Default -authonly ile kontrol ediliyor, böylece sadece çalışan bir şifre gönderiliyor.
Bunların neredeyse tamamı yeni değil. Microsoft, Mayıs ayında SHub Stealer'da aynı dscl doğrulamasını belgelemişti; aynı dalgada AMOS ve MacSync de macOS ClickFix kampanyalarında yer almıştı. Telegram üzerinden veri sızdırma ve LaunchAgent kalıcılığı standart yöntemler. Arka kapı olan 'goyim', The Hacker's Choice'dan açık kaynaklı bir tünelleme aracı olan GSocket'un genel dağıtım betiğinin yaklaşık yüzde 80 kopyası. GSocket yazarları, gs-netcat bileşenini kendi C2 sunucusu gerektirmeyen şifreli bir ters arka kapı olarak tanıtıyor; bir röle üzerinden çalışıyor. Group-IB bu kopyayı gsnc[.]eu:67 adresindeki bir operatör rölesine kadar izledi ve ikili dosya bizzat gsocket.io'dan çekilmiş. Stealer yükleri, temiz itibara sahip üç ele geçirilmiş alan adında (biri hacklenmiş bir WordPress sitesi) barınıyor ve çalınan veriler üç Telegram botu üzerinden sızdırılıyor. Group-IB özel bir C2 altyapısı gözlemlemedi. macOS'ta ikili dosya ~/Library/Application Support/iCloudsync altına 'iCloud' olarak iniyor ve süreç 'SystemUIServerl' (gerçeğinden bir harf farklı) olarak çalışıyor.
Apple bu kapıyı kapatmayı denedi. Mart sonunda yayınlanan macOS 26.4, Terminal'de şüpheli yapıştırma etkinliği gördüğünde uyarı veriyor ve tanıdığı kötü amaçlı yazılımları tamamen engelliyor. Microsoft, bu önlemi ClickFix dağıtımına doğrudan bir yanıt olarak gösteriyor. Ancak Apple'ın belgeleri ne kadar boşluk bıraktığını gösteriyor: uyarı yalnızca Terminal'i düzenli kullanmıyorsanız tetikleniyor ve 'Yine de Yapıştır' butonu içeriyor. Sert blok ise macOS'un kötü amaçlı yazılımı önceden tanımasını gerektiriyor. Haftalar içinde iki kampanya bu boşluktan ters yönlerde geçti. Jamf Threat Labs, Nisan ayında yapıştırmayı tamamen atlayan bir kampanya belgeledi: applescript:// URL'si kullanarak betiği Script Editor'da önceden yüklenmiş halde açıyor, böylece kontrol hiç tetiklenmiyor. ClickLock ise diğer yaklaşım: yapıştırmayı koruyup kişiyi manipüle ediyor.
Nasıl Önlem Alınmalı?
Baskı döngüsü, hiçbir masum açıklaması olmayan tek kısım. Group-IB, Finder, Dock, SystemUIServer ve NotificationCenter'a karşı saniyenin altında pkill ve killall saldırıları konusunda çekimser değil: 'Bu davranış, zorla etkileşimli kötü amaçlı yazılımlara özgüdür ve meşru bir kullanım durumu yoktur.' Diğer sinyaller: bir kabuk betiğinden (tarayıcı yerine) security find-generic-password çağrısı, /tmp/'den çekilen simgelerle şifre diyalogları oluşturan osascript. Saldırıya uğramamak için kullanıcıların Terminal'de yapıştırma işlemlerine dikkat etmesi, özellikle sosyal mühendislik içeren komutlardan şüphelenmesi ve macOS güncellemelerini takip etmesi hayati önem taşıyor.
Kaynak: thehackernews.com