Um novo malware de roubo de informações para macOS, batizado de ClickLock, encerra todos os processos visíveis para forçar o usuário a digitar a senha de login do sistema.
O malware foi criado para roubar ativos em criptomoedas, credenciais de acesso, dados de gerenciadores de senhas, informações do navegador e dados de autenticação do macOS.
Ele também pode instalar um backdoor persistente para manter acesso remoto contínuo aos sistemas infectados.
Pesquisadores da Group-IB analisaram um script de shell do ClickLock após encontrarem o malware no VirusTotal, onde ele foi enviado pela primeira vez em 9 de junho.
No momento da análise, ele ainda não havia sido detectado por todos os fornecedores de segurança disponíveis na plataforma.
A investigação mostrou que o script malicioso já havia infectado pelo menos 100 sistemas em 33 países desde maio.
A infecção provavelmente começa por meio de uma isca do tipo ClickFix, já que os pesquisadores observaram colagens de um comando malicioso no Terminal que acionam uma falsa sequência de “verificação humana” da Cloudflare, com uma barra de progresso animada.
Ao mesmo tempo, os atalhos de interrupção do teclado são desativados, o cursor do Terminal fica oculto e os módulos de roubo são baixados em segundo plano.
O NotificationCenter do macOS também é suprimido por cerca de seis horas, o que na prática desativa notificações que poderiam expor o ataque.
Os pesquisadores da Group-IB destacam que o ClickLock não exige nenhum exploit nem privilégios elevados, mas alcança seu objetivo por meio de engenharia social e ciclos de interação forçada.
O sucesso operacional vem do mecanismo do malware para coagir a vítima a digitar a senha do sistema no macOS.
Segundo a Group-IB, o script primeiro exibe uma falsa janela de senha do macOS usando o nome de usuário real da vítima e um ícone da Apple baixado da internet.
Se o usuário digitar a senha, o malware valida os dados e os exfiltra para o atacante via Telegram.
Caso o usuário cancele a janela, o malware estabelece persistência por meio de dois LaunchAgents do macOS, com os arquivos com.authirity.plist e com.chromer.plist, e volta a ser carregado no próximo login.
Na próxima ativação, o módulo de roubo de senha entra em um ciclo de encerramento a cada 210 milissegundos, mirando aplicativos essenciais, como Finder, Dock, Terminal, Activity Monitor, Console, Ajustes do Sistema, Spotlight e navegadores.
O sistema então exibe apenas uma janela de senha até que a vítima ceda.
A Group-IB informa que o ciclo foi configurado para durar 300.000 segundos, cerca de 83 horas, ou até que a vítima forneça a senha correta.
O segundo LaunchAgent executa um mecanismo separado de coerção que também encerra vários dos aplicativos do sistema mencionados e solicita autorização do Keychain por meio de um prompt legítimo do sistema, buscando permissão para acessar a chave Safe Storage do Chrome.
Essa chave pode ser usada para descriptografar offline senhas, cookies e informações de preenchimento automático armazenadas em bancos de dados roubados do Chromium.
Esse segundo mecanismo tem intervalo de repetição de 200 milissegundos e foi configurado para durar quase 35 dias, ou 3 milhões de segundos.
O ClickLock também inclui um módulo de coleta de dados que mira:
Dados de oito navegadores: Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc e Chromium
Credenciais salvas, cookies, dados de preenchimento automático, favoritos, armazenamento local e armazenamento de sessão
Extensões de carteiras de criptomoedas e arquivos de carteiras na área de trabalho
Conteúdo criptografado de cofres de carteiras para possível quebra offline
Dados de extensões de gerenciadores de senhas
Endereços de criptomoedas armazenados em cache em EVM, Bitcoin, Solana, TRON, TON e Stacks
Históricos de shell
Configuração do FileZilla FTP e dados de servidores recentes
Informações básicas do sistema e o endereço IP público
O módulo de coleta empacota as informações reunidas e um arquivo de log resumido em um arquivo ZIP e então faz o envio via Telegram Bot API.
Arquivos maiores que 40 MB são divididos em partes menores, enquanto a lógica de tentativas garante que o envio seja retomado após falhas temporárias de rede.
O módulo final é uma versão modificada da ferramenta open source GSocket, que atua como um backdoor persistente para os atacantes.
O backdoor estabelece persistência por vários meios, incluindo um LaunchAgent, entradas no crontab e modificações em arquivos de configuração do shell.
Ele se conecta por meio de um relay do GSocket, permitindo que o atacante abra uma reverse shell e assuma o controle remoto do sistema.
Ao contrário dos outros módulos do ClickLock, que se autodestroem após a execução, o GSocket é o único componente que permanece nos sistemas infectados.
Group-IB alerta que o malware “deixa uma janela estreita de detecção” e que os payloads maliciosos estão hospedados em domínios legítimos comprometidos, com boa reputação.
Além disso, o script não é sinalizado como malicioso no VirusTotal, e seus módulos se autodestroem após a execução, não deixando artefatos.
Ainda assim, os pesquisadores afirmam que a detecção é possível com base na atividade gerada pelo malware, como o uso do osascript para abrir caixas de senha, o encerramento repetido de processos, o acesso em massa a diretórios de perfis de navegador e conexões de saída para a API do Telegram.
Para se defender desse tipo de ataque, os usuários devem evitar colar no Terminal comandos que não compreendem totalmente, especialmente quando o pedido vier de um site.
“Qualquer página que instrua você a abrir o Terminal, não importa o quão profissional pareça, está tentando comprometer seu sistema”, dizem os pesquisadores.
Se surgir um pedido para inserir a senha de login enquanto o restante do sistema aparenta não responder, a Group-IB recomenda desligar o computador à força, mantendo o botão de energia pressionado, e depois iniciar em Modo Seguro para recuperar o sistema.
Publicidade
Vibecoding cria 10x mais sistemas, 20x mais vulneráveis. E quem ganha com isso é a galera do hacking ético e pentest. Quer ser pago para invadir sistemas? Então você tem que aprender com a Solyd que são os melhores do Brasil. Saiba mais...