Group-IB araştırmacıları tarafından keşfedilen yeni bir macOS kötü amaçlı yazılımı olan ClickLock Stealer, kullanıcıları tuzağa düşürmek için ClickFix adı verilen bir sosyal mühendislik yöntemini kullanıyor. Bu yöntemde, kullanıcılar sahte bir web sayfasındaki talimatları izleyerek Terminal'e bir komut yapıştırmaya yönlendiriliyor. Ancak bu komut, aslında kötü amaçlı yazılımın indirilmesini ve çalıştırılmasını sağlıyor. ClickLock Stealer, özellikle Avrupa'da olmak üzere 33 ülkede en az 100 kurbanı etkilemiş durumda.
Saldırı zinciri, kullanıcının ClickFix sayfasından kopyaladığı komutu Terminal'e yapıştırmasıyla başlıyor. Bir orkestratör betiği, imleci gizleyerek sahte bir Cloudflare ilerleme animasyonu oynatıyor ve bu sırada iki ele geçirilmiş WordPress sitesinden dört farklı bileşen indiriyor. Bu bileşenler, kullanıcının şifrelerini, kripto para cüzdanlarını ve diğer hassas verilerini çalmak için tasarlanmış.
Kimlik bilgisi hırsızlığı için iki farklı modül kullanılıyor. İlk modül, macOS'un Chrome Safe Storage anahtarını sorguluyor. Bu anahtar, Chrome tarafından saklanan çerezleri ve şifreleri çevrimdışı olarak şifrelemek için kullanılan bir AES anahtarı. İkinci modül ise AppleScript ile sahte bir şifre diyaloğu oluşturuyor ve girilen şifreyi yerel dizin hizmetine karşı doğruluyor. Yalnızca doğru şifreler saldırgana ulaşıyor.
Teknik Analiz
Kripto para hırsızlığı için özel bir modül, MetaMask ve Phantom dahil 30'dan fazla cüzdan eklentisini tarayarak LevelDB depolama alanından şifrelenmiş kasa alanlarını çıkarıyor. Dördüncü modül ise GSocket adlı açık kaynak bir ters kabuk aracını macOS'ta iCloud süreci olarak gizleyerek kuruyor. Bu araç, saldırgana kalıcı bir arka kapı sağlıyor.
ClickLock Stealer'ın en dikkat çekici özelliği, kullanıcıyı şifre girmeye zorlamak için kullandığı 'kill loop' (öldürme döngüsü) tekniği. Kullanıcı ilk şifre istemini iptal ederse, orkestratör iki LaunchAgent yükleyerek şifre modüllerinin sonraki oturum açmada yeniden çalıştırılmasını sağlıyor. Ardından, 83 saate kadar süren bir döngüde Finder, Dock, tarayıcılar, Terminal ve Etkinlik Monitörü sürekli olarak sonlandırılıyor. Aynı anda, Keychain modülü gerçek macOS Keychain diyaloğunu onaylatmaya zorluyor.
Ayrıca, Gatekeeper uyarılarını bastırmak için NotificationCenter yaklaşık altı saat boyunca öldürülüyor. Veri sızıntısı tamamen Telegram üzerinden, üç bot ve özel bir komuta kontrol (C2) sunucusu olmadan gerçekleştiriliyor. Modüller, kendilerini silerek ve zaman damgalarını değiştirerek izlerini gizliyor. Yalnızca GSocket arka kapısı kalıcı olarak sistemde kalıyor.
Group-IB, kullanıcıları Terminal'e komut yapıştırmalarını isteyen herhangi bir web sitesine karşı dikkatli olmaları konusunda uyarıyor. Eğer masaüstünde aniden uygulamalar kapanmaya başlarsa, şifre girmek yerine zorla kapatma yapılması ve Güvenli Mod'da başlatılması öneriliyor. Bu saldırı, macOS kötü amaçlı yazılım ekosistemindeki daha geniş bir değişimin parçası; AMOS ailesi gömülü bir arka kapı kazanırken, CrashStealer imzalı bir dropper kullanıyor.
Kaynak: infosecurity-magazine.com