Новости Сто целей в 33 странах, больше половины — в Европе. Кого уже успела заразить новая угроза для macOS

NewsMaker

I'm just a script
Премиум
28,386
46
8 Ноя 2022
Изматывающая атака способна терроризировать компьютер больше месяца без единой паузы.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:1200/675;margin-bottom:2rem;overflow:hidden">
6a3gy0xtu243d9plblhn7l1c6i03hno4.jpg

<div itemprop="articleBody">Обычное окно ввода пароля может превратить рабочий стол macOS в ловушку: новая вредоносная программа ClickLock полностью блокирует работу системы, пока владелец не введёт учётные данные. По данным Group-IB, с мая программа затронула не менее 100 целей в 33 странах, причём больше половины находились в Европе.

Точный способ первичного заражения пока не установлен. Специалисты получили всю цепочку вредоносных файлов, но не нашли сайты-приманки. По структуре сценария ClickLock относят к схеме ClickFix : пользователю предлагают вставить команду в Terminal под видом проверки Cloudflare, после чего появляется поддельное системное окно с реальным именем учётной записи. Введённый пароль проверяется средствами macOS, поэтому злоумышленникам отправляются только рабочие данные.

Если закрыть окно, сценарий создаёт два LaunchAgent-файла и завершает работу. При следующем входе Finder, Dock, Spotlight, Terminal, Activity Monitor и браузеры начинают закрываться каждые 210 миллисекунд. На рабочем столе остаётся запрос пароля. Отдельный процесс каждые полсекунды обращается к Keychain за ключом Chrome Safe Storage, вызывая настоящее системное подтверждение. Некоторые циклы могут работать до 34,7 дня, а NotificationCenter временно отключается, чтобы скрыть предупреждения Gatekeeper.

После ввода пароля ClickLock собирает данные Keychain, сохранённые пароли и cookie браузеров, файлы криптокошельков, хранилища менеджеров паролей, историю команд и учётные данные FileZilla. Ключ Chrome Safe Storage позволяет позже расшифровать украденные данные на компьютере атакующего. Дополнительно программа устанавливает обратный канал на базе GSocket, маскируя файл под компонент iCloud, а процесс под SystemUIServerl. Основные модули удаляют часть следов, но скрытый канал сохраняется.

Ни один антивирусный движок на VirusTotal не распознал управляющий сценарий, загруженный 9 июня, на момент анализа. Group-IB считает ClickLock незавершённой разработкой. macOS 26.4 предупреждает о подозрительной вставке в Terminal, однако позволяет продолжить действие вручную и блокирует только уже известные вредоносные программы.

При внезапном закрытии приложений и появлении запроса пароля вводить данные категорически нельзя. Group-IB советует принудительно выключить Mac, загрузиться в безопасном режиме, отозвать активные браузерные сессии и сменить сохранённые пароли. Cookie, ключи кошельков и другие секреты следует считать скомпрометированными, а систему проверить на наличие файла в каталоге iCloudsync и процесса SystemUIServerl.
 
Источник новости
www.securitylab.ru

Похожие темы