ClickLock macOS Zararlısı: Kullanıcıları Şifre Girmeye Zorlayan Yeni Tehdit Siber Güvenlik

ClickLock macOS Zararlısı: Kullanıcıları Şifre Girmeye Zorlayan Yeni Tehdit

ClickLock adlı yeni macOS zararlısı, tüm görünür işlemleri sonlandırarak kullanıcıları sistem şifresini girmeye zorluyor ve kripto varlıkları çalıyor.

Siber güvenlik araştırmacıları, macOS sistemlerini hedef alan ve ClickLock adı verilen yeni bir bilgi çalma zararlısı keşfetti. Bu zararlı, tüm görünür işlemleri sonlandırarak kullanıcıları sistem oturum açma şifrelerini girmeye zorluyor. Group-IB tarafından analiz edilen zararlı, kripto para varlıkları, oturum açma kimlik bilgileri, parola yöneticisi verileri, tarayıcı bilgileri ve macOS kimlik doğrulama verilerini çalmakla kalmıyor, aynı zamanda enfekte sistemlere kalıcı bir arka kapı kurarak uzaktan erişim sağlıyor.

ClickLock, ilk olarak 9 Haziran'da VirusTotal'a yüklendi ve o tarihte platformdaki tüm güvenlik satıcıları tarafından tespit edilemedi. Group-IB araştırmacıları, zararlının Mayıs ayından bu yana 33 ülkede en az 100 sistemi enfekte ettiğini belirledi. Bulaşma genellikle ClickFix tuzağı ile başlıyor: kullanıcılara Terminal'de çalıştırmaları için kötü amaçlı bir komut veriliyor ve bu komut, sahte bir Cloudflare 'insan doğrulama' animasyonu başlatıyor. Aynı anda klavye kesintileri devre dışı bırakılıyor, terminal imleci gizleniyor ve arka planda zararlı modüller indiriliyor.

ClickLock'un en dikkat çekici özelliği, kullanıcıları şifre girmeye zorlamak için kullandığı sosyal mühendislik ve zorlama döngüleridir. Zararlı, öncelikle kullanıcının gerçek kullanıcı adını ve indirilmiş bir Apple simgesini kullanarak sahte bir macOS şifre iletişim kutusu görüntülüyor. Kullanıcı şifresini girerse, veriler doğrulanıp Telegram üzerinden saldırgana gönderiliyor. Ancak kullanıcı iletişim kutusunu iptal ederse, zararlı iki LaunchAgent (com.authirity.plist ve com.chromer.plist) aracılığıyla kalıcılık sağlıyor ve bir sonraki oturum açışta yeniden çalışıyor.

Gelecekte Ne Bekleniyor?

İkinci etkinleştirmede, şifre çalma modülü her 210 milisaniyede bir Finder, Dock, Terminal, Activity Monitor, Console, System Settings, Spotlight ve web tarayıcıları gibi önemli uygulamaları sonlandıran bir döngü başlatıyor. Ekranda sadece şifre iletişim kutusu görünüyor ve bu döngü, kullanıcı doğru şifreyi girene kadar 300.000 saniye (yaklaşık 83 saat) boyunca devam ediyor. Ayrıca ikinci bir LaunchAgent, Chrome'un Safe Storage anahtarına erişim için meşru bir Keychain yetkilendirme istemi göstererek şifreleri, çerezleri ve otomatik doldurma verilerini çalmaya çalışıyor.

Detaylar ve Etkileri

ClickLock'un veri toplama modülü, Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc ve Chromium dahil sekiz tarayıcıdan kayıtlı oturum açma bilgileri, çerezler, otomatik doldurma verileri, yer imleri, yerel depolama ve oturum depolamasını hedefliyor. Ayrıca kripto para cüzdan uzantıları, masaüstü cüzdan dosyaları, şifrelenmiş cüzdan kasaları, parola yöneticisi uzantı verileri, EVM, Bitcoin, Solana, TRON, TON ve Stacks üzerinde önbelleğe alınmış kripto adresleri, shell geçmişleri ve FileZilla FTP yapılandırmalarını çalıyor. Toplanan veriler ZIP arşivine sıkıştırılıp Telegram Bot API üzerinden gönderiliyor; 40 MB'den büyük dosyalar parçalanıyor ve geçici ağ hatalarında yükleme tekrarlanıyor.

Sonuç ve Değerlendirme

Son modül ise açık kaynaklı GSocket aracının değiştirilmiş bir sürümü olup saldırganlar için kalıcı bir arka kapı görevi görüyor. Bu arka kapı, LaunchAgent, crontab girişleri ve shell yapılandırma dosyalarına yapılan değişiklikler dahil birden fazla yöntemle kalıcılık sağlıyor. GSocket, bir GSocket rölesi üzerinden bağlanarak saldırganın ters kabuk açmasına ve sistemi uzaktan kontrol etmesine olanak tanıyor. Diğer modüller çalıştıktan sonra kendilerini silerken, GSocket enfekte sistemlerde kalıcı olarak kalıyor.

Group-IB, zararlının dar bir tespit penceresi bıraktığı ve kötü amaçlı yüklerin temiz bir itibara sahip, ele geçirilmiş meşru alan adlarında barındırıldığı konusunda uyarıyor. Ayrıca betik VirusTotal'da zararlı olarak işaretlenmiyor ve modüller çalıştıktan sonra kendilerini sildiği için eser bırakmıyor. Ancak araştırmacılar, osascript ile şifre iletişim kutuları başlatılması, tekrarlanan işlem sonlandırmaları, tarayıcı profil dizinlerine toplu erişim ve Telegram API'sine giden bağlantılar gibi etkinliklerin tespit edilebileceğini belirtiyor.

Uzmanların Görüşleri

Kullanıcıların bu tür saldırılardan korunmak için Terminal'de anlamadıkları komutları çalıştırmamaları, özellikle bir web sitesi tarafından yönlendiriliyorlarsa dikkatli olmaları öneriliyor. Araştırmacılar, "Terminal'i açmanızı söyleyen herhangi bir sayfa, ne kadar profesyonel görünürse görünsün, sisteminizi ele geçirmeye çalışıyordur," uyarısında bulunuyor. Sistem yanıt vermezken oturum açma şifresi istenirse, güç düğmesine basılı tutarak zorla kapatma yapılması ve ardından Güvenli Mod'da başlatılarak sistemin kurtarılması tavsiye ediliyor.

Kaynak: bleepingcomputer.com

Paylaş: