Group-IB araştırmacıları, macOS için geliştirilmiş yeni bir bilgi çalma yazılımı olan ClickLock'u keşfetti. Bu zararlı yazılım, kurbanın şifresini girmeyi reddetmesi durumunda, Finder, Dock, Spotlight, Terminal, Activity Monitor ve büyük tarayıcılar dahil olmak üzere tüm uygulamaları 210 milisaniyede bir öldürerek bir tür dijital rehin alma eylemi gerçekleştiriyor. Kullanıcı ancak macOS şifresini girerek bu döngüyü durdurabiliyor. Mayıs ayından bu yana 33 ülkede en az 100 hedefin tespit edildiği belirtiliyor.
ClickLock'un bulaşma zinciri oldukça karmaşık. Kullanıcı, Terminal'e bir komut yapıştırmasıyla başlayan süreçte, sahte bir sistem diyaloğuyla şifresini girmeye zorlanıyor. Şifre girilmezse, zararlı yazılım iki LaunchAgent dosyası (com.authirity.plist ve com.chromer.plist) yükleyerek sessizce çıkıyor. Bir sonraki oturum açılışında, 210 milisaniyede bir uygulamaları öldüren döngü başlıyor ve bu durum 83 saate kadar devam edebiliyor. Şifre girildiğinde ise Keychain, tarayıcı kimlik bilgileri ve kripto para cüzdanları çalınıyor.
Zararlı yazılımın dikkat çekici bir özelliği, kullanıcının reddetme ihtimalini temel alarak tasarlanmış olması. Group-IB analistleri, bu zorlama döngüsünün benzersiz olduğunu ve meşru bir kullanım senaryosu bulunmadığını vurguluyor. Ayrıca, ClickLock'un arka kapı bileşeni olan 'goyim', büyük ölçüde açık kaynaklı GSocket tünel aracının bir kopyası. Bu araç, kendine ait bir C2 sunucusu gerektirmeyen, şifreli bir ters arka kapı görevi görüyor ve verileri üç Telegram botu üzerinden dışarı sızdırıyor.
Apple, macOS 26.4 ile Terminal'de şüpheli yapıştırma etkinliklerine karşı uyarı sistemi getirmiş olsa da, ClickLock bu önlemi aşmayı başarıyor. Uyarı yalnızca Terminal'i düzenli kullanmayanlara gösteriliyor ve 'Yine de Yapıştır' butonu içeriyor. Ayrıca, zararlı yazılımın tam olarak tanınması için macOS'un imzasını bilmesi gerekiyor. Bu boşluktan yararlanan ClickLock, kullanıcıyı psikolojik olarak zorlayarak şifreyi ele geçiriyor.
ClickLock'un çalışma prensibi şu şekilde: Kullanıcı sahte CAPTCHA ve ilerleme çubuğu ile oyalanırken, arka planda script.sh adlı bir betik çalışıyor. Bu betik, klavye kesintilerini devre dışı bırakıyor, imleci gizliyor ve iki güvenliği ihlal edilmiş siteden dört yük indiriyor. İki yük doğrudan bash'a yönlendirilirken, diğer ikisi gizli bir klasöre yerleşiyor. Şifre sorma diyaloğu, indirilen Apple simgesi ve kullanıcının gerçek kullanıcı adını kullanarak sahte bir sistem istemi oluşturuyor. Girilen şifre, dscl komutuyla doğrulanıyor ve yalnızca geçerli şifreler iletiliyor.
Group-IB, ClickLock'un henüz geliştirme aşamasında olduğunu düşünüyor. 9 Haziran'da VirusTotal'a yüklenen orkestratör betiğinin, analiz sırasında sıfır tespit oranına sahip olması bu görüşü destekliyor. Ayrıca, zararlı yazılımın ön yüzü (lure page) hiçbir zaman bulunamadı. Analistler, tüm yük zincirine sahip olmalarına rağmen, trafiği yönlendiren alan adlarını ve iniş sayfası tasarımını tespit edemedi. Bu durum, kampanyanın arkasındaki operatörlerin kimliğinin belirlenmesini zorlaştırıyor.
Başarılı bir enfeksiyon sonrası saldırgan, doğrulanmış macOS oturum açma şifresi, Chrome'un Safe Storage AES anahtarı ve tarayıcı kimlik bilgileri, çerezler, kripto cüzdan uzantıları, masaüstü cüzdan dosyaları, parola yöneticisi kasaları, Keychain, kabuk geçmişi ve FileZilla sunucu kimlik bilgilerini içeren bir ZIP dosyası ele geçiriyor. Özellikle Chrome'un Safe Storage anahtarı, çevrimdışı olarak şifrelenmiş verilerin çözülmesine olanak tanıdığı için kalıcı bir tehdit oluşturuyor. Group-IB, bu zararlı yazılıma maruz kalan kullanıcılara tüm aktif oturumları iptal etmelerini, kaydedilmiş tüm şifreleri, çerezleri ve cüzdan anahtarlarını tehlikeye girmiş kabul etmelerini ve değiştirmelerini öneriyor.
Kaynak: thehackernews.com