MacOS'ta Yeni Tehdit: ClickLock Stealer, Kilit Döngüleriyle Şifre Girişini Zorluyor Yazılım

MacOS'ta Yeni Tehdit: ClickLock Stealer, Kilit Döngüleriyle Şifre Girişini Zorluyor

ClickLock Stealer, macOS'ta şifre girişini zorlamak için kill loop kullanıyor. 33 ülkede 100'den fazla kurban var.

Siber güvenlik araştırmacıları, macOS platformunu hedef alan yeni bir kötü amaçlı yazılım tespit etti. 'ClickLock Stealer' adı verilen bu zararlı yazılım, kurbanın bilgisayarını kullanılamaz hale getirerek şifresini vermeye zorluyor. Group-IB tarafından 16 Haziran'da yayınlanan rapora göre, yaklaşık iki ayda 33 ülkede en az 100 kullanıcı bu saldırıya maruz kaldı ve kurbanların yarısından fazlası Avrupa'da bulunuyor. İlk örnek, 9 Haziran'da VirusTotal'a yüklendiğinde hiçbir güvenlik yazılımı tarafından tespit edilemedi.

Saldırı zinciri, kurbanın bir ClickFix sayfasından Terminal'e komut yapıştırmasıyla başlıyor. Bu komut, bir orkestratör betiğini çalıştırıyor ve betik, imleci gizleyip sahte bir Cloudflare ilerleme animasyonu oynatırken, ele geçirilmiş iki WordPress sitesinden dört bileşen indiriyor. Bu modüler yapı, zararlı yazılımın farklı işlevlerini ayrı ayrı yönetmesine olanak tanıyor.

Kimlik bilgisi hırsızlığı için iki araç kullanılıyor. İlki, macOS'taki Keychain'den Chrome Safe Storage anahtarını sorguluyor. Bu anahtar, Chrome'un çevrimdışı olarak sakladığı çerezleri ve şifreleri çözmek için kullanılıyor. İkincisi ise AppleScript ile sahte bir şifre diyaloğu gösteriyor ve girilen şifreyi yerel dizin hizmetine karşı doğrulayarak yalnızca doğru şifrelerin operatöre ulaşmasını sağlıyor.

Üçüncü modül, kripto para varlıklarını hedef alıyor. MetaMask ve Phantom gibi 30'dan fazla cüzdan eklentisini tarayarak LevelDB deposundan şifrelenmiş cüzdan alanlarını çıkarıyor. Dördüncü modül ise GSocket'u yüklüyor; bu, açık kaynaklı bir ters kabuk aracı ve kodunun yaklaşık %80'i değiştirilmeden kullanılıyor. macOS'te bir iCloud süreci olarak gizleniyor.

Eğer kurban ilk şifre isteminde şifresini girerse, operatör şifreyle birlikte bir sistem parmak izi de alıyor. Ancak kurban iptal ederse, orkestratör iki LaunchAgent kuruyor ve bir sonraki oturum açmada kimlik bilgisi modüllerinin yeniden çalıştırılmasını sağlıyor. Ardından bir 'kill loop' devreye giriyor; Finder, Dock, tarayıcılar, Terminal ve Activity Monitor gibi kritik uygulamaları 83 saate kadar süren bir döngüde sürekli kapatıyor. Aynı anda Keychain modülü, gerçek macOS Keychain diyaloğunun onaylanmasını zorlamak için benzer bir döngü çalıştırıyor.

Paralel bir döngü, yaklaşık altı saat boyunca NotificationCenter'ı kapatarak Gatekeeper uyarılarını bastırıyor. Veri sızıntısı tamamen Telegram üzerinden gerçekleşiyor; üç bot kullanılıyor ve herhangi bir özel komuta ve kontrol (C2) sunucusu bulunmuyor. Modüller, zaman damgalarını taklit edip kendilerini siliyor; yalnızca GSocket arka kapısı kalıyor. Bu bulgular, macOS stealer ekosistemindeki daha geniş bir değişimin parçası. Atomic macOS Stealer (AMOS) ailesi, Temmuz 2025'te gömülü bir arka kapı kazanmıştı ve Jamf Threat Labs, CrashStealer'ın Gatekeeper'ı atlatmak için imzalı bir dropper kullandığını belgelemişti.

Group-IB, kullanıcıları Terminal'e komut yapıştırmalarını isteyen herhangi bir web sitesini saldırı girişimi olarak değerlendirmeye çağırıyor. Eğer masaüstü aniden uygulamaları kapatmaya başlarsa, şifre girmek yerine zorla kapatma yapıp Güvenli Mod'da (Safe Mode) başlatılması öneriliyor. Ayrıca, düzenli yedekleme, güvenilir olmayan kaynaklardan yazılım indirmeme ve güvenlik yazılımlarını güncel tutma gibi temel önlemler, bu tür tehditlere karşı en etkili savunma yöntemleri arasında yer alıyor.

Kaynak: infosecurity-magazine.com

Paylaş: