
Un nouveau malware voleur de données macOS appelé ClickLock arrête tous les processus visibles pour forcer les utilisateurs à saisir leurs mots de passe de connexion système.
Le malware vise à voler les actifs de crypto-monnaie, les informations de connexion, les données du gestionnaire de mots de passe, les informations du navigateur, les données d’authentification macOS et peut installer une porte dérobée permanente pour l’accès à distance aux systèmes infectés.
Les chercheurs du Group-IB ont analysé le script shell ClickLock après avoir découvert le malware sur VirusTotal, qui a été soumis pour la première fois le 9 juin. Au moment de la publication, il n’avait pas encore été révélé à tous les fournisseurs de sécurité de la plateforme.
Une enquête plus approfondie a révélé que le script malveillant avait infecté au moins 100 systèmes dans 33 pays depuis mai.
La compromission a peut-être commencé avec le leurre ClickFix, car les chercheurs ont observé une commande malveillante dans le terminal qui déclenchait une fausse séquence « d’authentification humaine » Cloudflare via une barre de progression animée.
En même temps, il désactive les interruptions du clavier, masque le curseur du terminal et télécharge les modules de pirate de l’air en arrière-plan.
Il supprime également macOS NotificationCenter pendant six heures, désactivant les notifications révélant des attaques.

Source : Groupe-IB
Forcer un mot de passe
Les chercheurs du Group-IB soulignent que ClickLock ne nécessite aucun exploit ni privilège, mais utilise l’ingénierie sociale et des boucles d’interaction forcées pour atteindre ses objectifs.
L’exploit est réalisé grâce à un mécanisme malveillant qui oblige les victimes à saisir les mots de passe de leur système MacOS.
Selon Group-IB, le script affiche une fausse boîte de dialogue de mot de passe macOS utilisant le vrai nom d’utilisateur de la victime et une icône Apple téléchargée.
Si l’utilisateur saisit le mot de passe, le malware vérifie les données et les transmet à l’attaquant via Telegram.
Lorsque l’utilisateur annule la boîte de dialogue, le malware établit la persistance via deux LaunchAgents macOS (com.authirity.plist, com.chromer.plist) et se recharge à la prochaine connexion.
Lors d’une activation ultérieure, le module de vol de mot de passe cible les applications clés (par exemple Finder, Dock, Terminal, Moniteur d’activité, Console, Paramètres système, Spotlight, navigateurs Web) toutes les 210 millisecondes et affiche uniquement la boîte de dialogue du mot de passe à l’écran jusqu’à ce que la victime s’y conforme.
Rapports Groupe-IB Cette boucle est prévue pour durer 300 000 secondes (environ 83 heures) ou jusqu’à ce que la victime saisisse correctement le mot de passe.

Source : Groupe-IB
Un deuxième LaunchAgent exécute un mécanisme d’application distinct, qui arrête également la plupart des applications système mentionnées et demande l’autorisation du trousseau lorsque le système demande l’autorisation d’accéder à la clé de stockage sécurisé de Chrome.
Cette clé peut être utilisée pour déchiffrer les mots de passe hors ligne, les cookies et les informations de remplissage automatique stockées dans Chromium à partir de bases de données volées.
Ce deuxième mécanisme a un intervalle de répétition de 200 millisecondes et devrait fonctionner pendant près de 35 jours (3 millions de secondes).
ClickLock héberge également un module de collecte de données qui cible :
- Données de huit navigateurs : Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc et Chromium
- Connexions enregistrées, cookies, données de remplissage automatique, signets, mémoire interne, stockage de session
- Extensions de portefeuille de crypto-monnaie et fichiers de portefeuille de bureau
- Matériel de stockage de portefeuille crypté pouvant être piraté hors ligne
- Données d’extension du gestionnaire de mots de passe
- Adresses de crypto-monnaie stockées sur EVM, Bitcoin, Solana, TRON, TON, Stacks
- Histoires de coquillages
- Paramètres FTP FileZilla et données récentes du serveur
- Informations système de base et adresse IP publique
Le module de récolte regroupe les données collectées et les fichiers journaux récapitulatifs dans une archive ZIP, qui est ensuite téléchargée via l’API Telegram Bot.
Les fichiers de plus de 40 Mo sont divisés en morceaux plus petits, tandis que la logique de nouvelle tentative garantit la poursuite des téléchargements après des pannes réseau temporaires.
Le dernier module est une version modifiée de l’outil open source GSocket qui agit comme une porte dérobée constante pour les attaquants.
La porte dérobée assure la stabilité grâce à un certain nombre de méthodes, notamment les modifications apportées à LaunchAgent, aux entrées crontab et aux fichiers de configuration du shell.
Il se connecte via le relais GSocket et permet à un attaquant d’ouvrir un shell inversé et de contrôler le système à distance.
Contrairement aux autres modules ClickLock qui s’autodétruisent après exécution, GSocket est le seul composant qui reste sur un système infecté.

Source : Groupe-IB
Group-IB prévient que « les logiciels malveillants laissent une fenêtre de détection étroite » et que les charges utiles malveillantes sont hébergées sur des domaines légitimes compromis avec une bonne réputation.
De plus, le script n’est pas marqué comme malveillant sur VirusTotal, et les modules s’autodétruisent après exécution, ne laissant aucune trace.
Cependant, les chercheurs affirment qu’osascript peut être détecté sur la base d’activités générées par des logiciels malveillants, telles que la boîte de dialogue du mot de passe de démarrage d’osascript, les interruptions répétées du processus, l’accès groupé au répertoire de profil du navigateur et les connexions sortantes à l’API de Telegram.
Pour se protéger contre ces attaques, les utilisateurs doivent éviter de saisir des commandes de terminal qu’ils ne comprennent pas entièrement, surtout si la requête provient d’un site Web.
“Toute page qui vous demande d’ouvrir un terminal, aussi professionnel soit-elle, tente de pirater votre système”, ont déclaré les chercheurs.
Si vous êtes invité à saisir un mot de passe de connexion lorsque le reste du système ne répond pas, Group-IB recommande d’arrêter de force le système en appuyant longuement sur le bouton d’alimentation, puis en démarrant en mode sans échec pour restaurer le système.
Les équipes de sécurité enregistrent 54 % des attaques réussies et n’en avertissent que pour 14 %. Le reste se déplace de manière invisible dans votre environnement.
La présentation de Picus montre comment votre SIEM et votre EDR peuvent tester les violations des règles et les techniques de modélisation des attaques, afin que vous puissiez arrêter de passer à travers la détection des menaces.

