Siber güvenlik araştırmacıları, macOS platformunu hedef alan yeni bir kötü amaçlı yazılım türü keşfetti. Group-IB tarafından yayınlanan rapora göre, ClickLock Stealer adı verilen bu zararlı yazılım, kurbanların bilgisayarını kullanılamaz hale getirerek şifrelerini vermeye zorluyor. Saldırı, ClickFix adı verilen bir sosyal mühendislik tekniğiyle başlıyor ve kullanıcıyı Terminal'e komut yapıştırmaya ikna ediyor. Ardından, 83 saate kadar sürebilen bir 'öldürme döngüsü' devreye giriyor ve Finder, Dock, tarayıcılar gibi temel işlemleri sonlandırarak kurbanı şifresini girmeye mecbur bırakıyor.
ClickLock Stealer'ın ilk örneği 9 Haziran'da VirusTotal'a yüklendi ve o sırada sıfır tespit oranına sahipti. Group-IB'nin analizine göre, bu zararlı yazılım yaklaşık iki ay içinde 33 ülkede en az 100 kurban buldu. Kurbanların yarısından fazlası Avrupa'da yer alıyor. Saldırganlar, iki güvenliği ihlal edilmiş WordPress sitesini kullanarak dört farklı modülü indiriyor. Bu modüler yapı, zararlı yazılımın esnek ve tespit edilmesi zor olmasını sağlıyor.
ClickLock Stealer'ın saldırı zinciri, kullanıcının ClickFix sayfasındaki talimatları izleyerek Terminal'e bir komut yapıştırmasıyla başlıyor. Bir düzenleyici betik, imleci gizliyor ve sahte bir Cloudflare ilerleme animasyonu oynatırken, dört bileşeni indiriyor. Bu bileşenlerden ikisi kimlik bilgilerini çalmaya odaklanıyor. Keychain modülü, macOS'ta Chrome tarafından saklanan çerezleri ve şifreleri çözmek için kullanılan Chrome Safe Storage anahtarını sorguluyor. Diğer kimlik bilgisi modülü ise AppleScript ile sahte bir şifre iletişim kutusu gösteriyor ve girilen şifreyi yerel dizin hizmetine karşı doğrulayarak yalnızca doğru şifreleri saldırgana gönderiyor.
Detaylar ve Etkileri
Üçüncü modül, MetaMask ve Phantom gibi 30'dan fazla cüzdan eklentisini tarayarak kripto para varlıklarını hedef alıyor. Bu modül, LevelDB deposundan şifrelenmiş cüzdan alanlarını çıkarıyor. Dördüncü modül ise açık kaynaklı bir ters kabuk aracı olan GSocket'u yüklüyor. GSocket, macOS'ta bir iCloud süreci olarak gizleniyor ve orijinal kodunun yaklaşık %80'ini koruyor. Bu arka kapı, saldırganlara kalıcı erişim sağlıyor.
Uzmanların Görüşleri
Kurban ilk şifre isteminde şifresini girmezse, düzenleyici betik iki LaunchAgent yüklüyor. Bu sayede kimlik bilgisi modülleri bir sonraki oturum açmada yeniden başlatılıyor. Ardından, 83 saate kadar sürebilen bir öldürme döngüsü devreye giriyor. Bu döngü, Finder, Dock, tarayıcılar, Terminal ve Activity Monitor gibi temel işlemleri tekrar tekrar sonlandırıyor. Aynı zamanda, Keychain modülü de gerçek macOS Keychain iletişim kutusunu onaylamaya zorlamak için benzer bir döngü kullanıyor. Paralel bir döngü ise Gatekeeper uyarılarını bastırmak için yaklaşık altı saat boyunca NotificationCenter'ı sonlandırıyor.
ClickLock Stealer, veri sızdırmak için Telegram botlarını kullanıyor. Üç farklı bot kullanılması, özel bir komuta ve kontrol (C2) sunucusu ihtiyacını ortadan kaldırıyor. Modüller, zaman damgalarını taklit ediyor ve kendilerini siliyor, yalnızca GSocket arka kapısını bırakıyor. Bu teknikler, zararlı yazılımın tespit edilmesini zorlaştırıyor.
Bu gelişme, macOS stealer ekosistemindeki daha geniş bir değişimin parçası. Atomic macOS Stealer (AMOS) ailesi, Temmuz 2025'te gömülü bir arka kapı kazandı ve Jamf Threat Labs, CrashStealer'ın imzalı bir damlalık kullanarak Gatekeeper'ı atlattığını belgeledi. Group-IB, kullanıcıları Terminal'e komut yapıştırmalarını isteyen herhangi bir web sitesini saldırı girişimi olarak değerlendirmeye çağırıyor. Eğer masaüstü aniden uygulamaları öldürmeye başlarsa, şifre girmek yerine zorla kapatma ve Güvenli Mod'a geçme öneriliyor.
Kaynak: infosecurity-magazine.com