Кіберзлочинці виявили новий спосіб крадіжки ваших паролів та криптовалюти на macOS: зловмисний вірус ClickLock

Фахівці Group-IB виявили новий шкідливий програмний продукт для macOS під назвою ClickLock. Ця програма завершує всі активні системні процеси, щоб змусити користувачів ввести пароль для входу. Мета ClickLock — крадіжка криптовалютних активів, даних браузерів, менеджерів паролів та іншої конфіденційної інформації.  Источник изображения: AI

Джерело зображення: AI

Як повідомляє BleepingComputer, ClickLock є shell-скриптом з набором шкідливих команд. Він вже встиг заразити щонайменше 100 пристроїв у 33 країнах. Ймовірно, зараження відбувається через схему ClickFix (метод соціальної інженерії), яка спонукає користувача вставити команду в термінал під виглядом “перевірки на людину” від Cloudflare з анімованою смугою прогресу. Після запуску скрипт вимикає гарячі клавіші, приховує курсор у терміналі та припиняє роботу Центру повідомлень macOS приблизно на шість годин, одночасно завантажуючи додаткові модулі. Потім на екрані з’являється підроблене вікно введення пароля macOS, яке містить справжнє ім’я користувача та логотип Apple. Якщо пароль введено, він перевіряється та надсилається зловмисникам через Telegram за допомогою API бота.  Источник изображения: Group-IB

Джерело зображення: Group-IB

Якщо користувач відмовляється ввести пароль, ClickLock закріплюється в системі за допомогою LaunchAgent (спеціального фонового сценарію) і повторно активується після наступного входу в macOS. Після цього шкідлива програма кожні 210 мілісекунд завершує роботу основних процесів, включно з файловим менеджером Finder, панеллю Dock, веб-браузерами та іншими компонентами системи, залишаючи на екрані лише вікно введення пароля. Цей цикл може тривати близько 83 годин або до моменту введення правильного пароля. Додатково, другий LaunchAgent з інтервалом 200 мілісекунд запитує доступ до “Зв’язки ключів” для отримання доступу до зашифрованого ключа безпеки (Chrome Safe Storage). Також збираються дані з браузерів Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc та Chromium, включаючи збережені паролі, файли cookie, дані автозаповнення, закладки та локальне сховище. Крім того, шкідлива програма викрадає дані криптовалютних гаманців, розширень менеджерів паролів, історію команд shell, конфігурацію FileZilla, відомості про систему та публічну IP-адресу. Зібрана інформація архівується у ZIP-файл і також передається зловмисникам через Telegram. Файли розміром понад 40 МБ автоматично розділяються на частини. Фінальним компонентом ClickLock є модифікована версія відкритого інструменту GSocket, яка забезпечує постійний віддалений доступ до зараженої системи. За словами фахівців Group-IB, виявити це програмне забезпечення складно через використання скомпрометованих легітимних доменів і самознищення більшості модулів після виконання. Для захисту дослідники рекомендують не виконувати в терміналі команди невідомого походження, а при появі вікна введення пароля одночасно з зависанням системи примусово вимикати комп’ютер, утримуючи кнопку живлення, після чого завантажити macOS у безпечному режимі (Safe Mode).

Інформація підготовлена на основі матеріалів: 3dnews.ru

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *