ClickLock macOS Zararlı Yazılımı: Şifrenizi Zorla Söyleten Yeni Tehdit Siber Güvenlik

ClickLock macOS Zararlı Yazılımı: Şifrenizi Zorla Söyleten Yeni Tehdit

ClickLock adlı yeni macOS zararlı yazılımı, tüm görünür işlemleri sonlandırarak kullanıcıları sistem şifrelerini girmeye zorluyor.

macOS kullanıcılarını hedef alan yeni bir bilgi hırsızı zararlı yazılım ortaya çıktı. 'ClickLock' adı verilen bu kötü amaçlı yazılım, sistemin tüm görünür işlemlerini sonlandırarak kullanıcıları sistem şifrelerini girmeye zorluyor. Group-IB araştırmacıları tarafından keşfedilen bu zararlı yazılım, özellikle kripto para varlıklarını, oturum açma kimlik bilgilerini, parola yöneticisi verilerini ve macOS kimlik doğrulama bilgilerini çalmayı hedefliyor. Ayrıca, enfekte sistemlere kalıcı bir arka kapı kurarak sürekli uzaktan erişim sağlıyor.

Group-IB, ClickLock'u ilk olarak 9 Haziran'da VirusTotal'a yüklenen bir shell scripti olarak tespit etti. Raporun yayınlandığı tarihte, zararlı yazılım platformdaki tüm güvenlik satıcıları tarafından tespit edilememişti. Daha detaylı incelemeler, bu kötü amaçlı scriptin Mayıs ayından bu yana 33 ülkede en az 100 sistemi enfekte ettiğini ortaya koydu. Bulaşmanın, kullanıcıları Terminal'de sahte bir Cloudflare 'insan doğrulama' sürecini çalıştırmaya yönlendiren bir ClickFix tuzağı ile başladığı düşünülüyor.

ClickLock'un çalışma prensibi oldukça sinsi. Zararlı yazılım, herhangi bir açıktan veya yükseltilmiş ayrıcalıklardan yararlanmak yerine, sosyal mühendislik ve zorla etkileşim döngüleri kullanarak amacına ulaşıyor. İlk aşamada, kullanıcının gerçek kullanıcı adını ve indirilen bir Apple simgesini kullanarak sahte bir macOS şifre iletişim kutusu görüntülüyor. Kullanıcı şifresini girerse, veriler doğrulanıyor ve Telegram üzerinden saldırgana gönderiliyor. Kullanıcı iletişim kutusunu iptal ederse, zararlı yazılım iki macOS LaunchAgent aracılığıyla kalıcılık sağlıyor ve bir sonraki oturum açmada yeniden yükleniyor.

İkinci aşamada ise işler daha da zorlaşıyor. Şifre çalma modülü, her 210 milisaniyede bir Finder, Dock, Terminal, Activity Monitor, Console, System Settings, Spotlight ve web tarayıcıları gibi kritik uygulamaları sonlandıran bir döngü başlatıyor. Ekranda sadece bir şifre iletişim kutusu kalıyor ve kullanıcı doğru şifreyi girene kadar bu döngü 300.000 saniye (yaklaşık 83 saat) boyunca devam ediyor. Ayrıca, ikinci bir LaunchAgent, Chrome'un Safe Storage anahtarına erişim izni isteyen meşru bir sistem istemi gösteriyor. Bu anahtar, çalınan veritabanlarından Chromium tarafından depolanan şifreler, çerezler ve otomatik doldurma bilgilerinin şifresini çözmek için kullanılabiliyor.

Gelecekte Ne Bekleniyor?

ClickLock ayrıca, Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc ve Chromium olmak üzere sekiz farklı tarayıcıdan veri topluyor. Kaydedilmiş oturum açma bilgileri, çerezler, otomatik doldurma verileri, yer imleri, yerel depolama ve oturum depolama gibi bilgileri hedef alıyor. Kripto para cüzdanı uzantıları ve masaüstü cüzdan dosyaları, şifrelenmiş cüzdan kasa materyalleri ve parola yöneticisi uzantı verileri de toplananlar arasında. Toplanan bilgiler bir ZIP arşivine paketleniyor ve Telegram Bot API üzerinden yükleniyor. 40 MB'den büyük dosyalar daha küçük parçalara bölünüyor ve geçici ağ kesintilerinden sonra yükleme devam ediyor.

ClickLock'un son modülü, açık kaynaklı GSocket aracının değiştirilmiş bir sürümü. Bu modül, saldırganlar için kalıcı bir arka kapı görevi görüyor. Kalıcılık, LaunchAgent, crontab girdileri ve kabuk yapılandırma dosyalarında değişiklikler yaparak sağlanıyor. Arka kapı, bir GSocket rölesi üzerinden bağlanarak saldırganın ters kabuk açmasına ve sistemi uzaktan kontrol etmesine olanak tanıyor. Diğer modüller yürütüldükten sonra kendini silerken, GSocket enfekte sistemde kalıcı olarak kalıyor.

Group-IB araştırmacıları, ClickLock'un dar bir tespit penceresi bıraktığı konusunda uyarıyor. Zararlı yükler, temiz bir itibara sahip güvenliği ihlal edilmiş meşru alan adlarında barındırılıyor. Script VirusTotal'da kötü amaçlı olarak işaretlenmiyor ve modüller yürütüldükten sonra kendini siliyor. Ancak, osascript'in şifre iletişim kutuları başlatması, tekrarlanan işlem sonlandırmaları, tarayıcı profil dizinlerine toplu erişim ve Telegram API'sine yapılan giden bağlantılar gibi etkinlikler sayesinde tespit mümkün.

Sonuç ve Değerlendirme

Bu tür saldırılara karşı korunmak için, kullanıcıların tam olarak anlamadıkları Terminal komutlarını yapıştırmamaları, özellikle de bu istek bir web sitesinden geliyorsa dikkatli olmaları öneriliyor. Araştırmacılar, 'Sizi Terminal'i açmaya yönlendiren herhangi bir sayfa, ne kadar profesyonel görünürse görünsün, sisteminizi tehlikeye atmaya çalışıyordur' uyarısında bulunuyor. Sistem yanıt vermez hale geldiğinde oturum açma şifresi istenirse, güç düğmesine basılı tutarak sistemi kapatmanız ve ardından Güvenli Mod'da başlatarak sistemi kurtarmanız öneriliyor.

Kaynak: bleepingcomputer.com

Paylaş: