Pirate de l’air ClickLockLe nouveau voleur de données macOS tue les applications de la victime jusqu’à ce qu’elle refuse de fournir son mot de passe de connexion. Il arrive sous la forme d’une commande collée dans le terminal, demande un mot de passe derrière une fausse boîte de dialogue système, installe deux LaunchAgents lorsque la victime annule et se termine silencieusement.
Lors de la prochaine connexion, le Finder, le Dock, Spotlight, le Terminal, le Moniteur d’activité et les principaux navigateurs commencent à mourir toutes les 210 millisecondes pendant 83 heures maximum, laissant une boîte de mot de passe morte sur le bureau. Tapez-le et la machine vous donnera votre trousseau, vos identifiants de navigateur et votre portefeuille crypto.
Groupe-IB télémétrie Depuis mai, 33 pays ont dénombré au moins 100 cibles, dont plus de la moitié en Europe. Selon la structure de son code, ses experts estiment que le malware est toujours en cours de développement. Téléchargé sur VirusTotal le 9 juin, il s’agissait d’un scénario de réalisateur détection zéro Là, quand le Groupe-IB l’a analysé.
Et les experts n’ont jamais trouvé la porte d’entrée. Ils ont toute une chaîne de fret et aucune aide-mémoire. La liste IOC contient trois hôtes de charges utiles et de domaines défectueux sans aucune confusion : la conception de la page de destination, les domaines qu’elle dessert et ce qui génère du trafic vers eux ne sont tous pas vérifiés.
Après l’exécution, il contient le mot de passe de connexion macOS vérifié par l’opérateur, la clé Safe Storage AES de Chrome, le code ZIP avec les informations d’identification du navigateur et les cookies, le référentiel d’extension de portefeuille cryptographique, les fichiers de portefeuille de bureau, le stockage du gestionnaire de mots de passe, le trousseau, l’historique du shell et les informations d’identification du serveur enregistrées par FileZilla.
Une clé sécurisée est une clé qui dure. Il crypte les mots de passe stockés par Chrome et les cookies sur le disque Login Data et Cookies Il est crypté hors ligne chaque fois qu’il visite la machine d’un attaquant. Le conseil de Group-IB à tous ceux qui exécutent ceci : annulez les sessions de navigateur actives, traitez chaque mot de passe, cookie et clé de portefeuille enregistrés comme manquants et modifiez-les.
Suivez-nous maintenant ou la prochaine fois que vous vous connecterez
Un utilisateur rejeté n’est pas un cas limite. Ils sont destinés au design. L’annulation de la première boîte de dialogue entraînera le crash du script com.authirity.plist et com.chromer.plist à ~/Library/LaunchAgents/puis partez.
Le premier exécute une boucle de destruction de 210 millisecondes jusqu’à ce que le mot de passe soit obtenu. Le second démarre sa boucle d’arrêt à intervalles de 0,2 seconde pendant 3 000 000 secondes maximum, soit environ 34,7 jours, tandis que le processus en arrière-plan demande la clé de stockage sécurisée de Chrome toutes les demi-secondes.
Cette requête génère une véritable invite macOS et la boucle détourne le bureau jusqu’à ce que la victime accepte. Activity Monitor et Terminal sont tous deux sur la liste de désinstallation. La troisième boucle tue NotificationCenter pendant six heures, donc aucune alerte Gatekeeper n’est émise. Si le terminal ne dispose pas d’un accès complet au disque, le directeur ouvrira les paramètres système dans le volet de droite et permettra à la victime de s’exécuter.
La partie avant Cliquez sur Modifier. Group-IB l’apprécie avec une grande confiance et ne l’a jamais vu. Le script prend un RAY_ID est le premier argument et s’ouvre sur une fausse bannière Cloudflare CAPTCHA sur une barre de progression qui fait défiler douze barres d’état en dix secondes. Ni l’un ni l’autre ne fait rien. Ils sont là pour apaiser celui qui saisit la commande dans le terminal.
En bas, script.sh désactive les interruptions du clavier, masque le curseur et télécharge quatre charges utiles à partir de deux sites en panne. Deux tuyaux directement à frapper. Les deux endroits sont cachés $HOME/.cacheb/. Une question douce est une osascript Une boîte de dialogue avec l’icône Apple téléchargée et le véritable nom d’utilisateur de la victime et tout ce qui est écrit est cochée. dscl /Local/Default -authonly Premièrement, il est préférable d’envoyer uniquement des mots de passe fonctionnels.
Presque rien de tout cela n’est nouveau. Microsoft documenté le même dscl Confirmation et parallèle à SHub Stealer en mai AMOS et MacSync Dans la même vague de la campagne macOS ClickFix. La persistance de Telegram exfil et de LaunchAgent est excellente.
porte arrière, Goyamenviron 80 pour cent sont des copies de scripts publics GSocketUn outil de tunneling open source du magazine Hacker’s Choice. Les auteurs gs-netcat Le composant est une porte dérobée inversée cryptée et ne nécessite pas son propre serveur C2. Prenez plutôt l’express.
Group-IB a transmis cette copie à l’opérateur relais gsnc(.)eu:67binaires téléchargés depuis gsocket.io lui-même. Les exploits des voleurs reposent sur trois domaines compromis avec une réputation irréprochable, dont l’un est un site WordPress piraté, géré par trois robots Telegram. Group-IB n’a pas reconnu l’existence d’une infrastructure de commandement et de contrôle dédiée.
Sous MacOS, le binaire se présente comme suit : iCloud dans ~/Library/Application Support/iCloudsync et le processus est le suivant SystemUIServerlune lettre de la vraie lettre.
Apple a déjà tenté de fermer cette porte
macOS 26.4 Expédié fin mars. Il avertit lorsque Terminal détecte des téléchargements suspects et bloque immédiatement tout ce qu’il reconnaît comme logiciel malveillant connu, ce que Microsoft considère comme une réponse directe à la livraison de ClickFix.
La propre documentation d’Apple indique l’espace restant : l’avertissement ne s’affiche que si vous n’utilisez pas régulièrement le terminal, et il est de toute façon livré avec le bouton Coller. macOS a besoin d’un blocage dur pour déjà connaître le malware.
Les deux campagnes sont allées dans des directions opposées en une semaine dans cette salle. Laboratoires de menaces Jamf un a été documenté en avril ce qui évite complètement la pâte applescript:// Une vérification utilisant une URL pour ouvrir un éditeur de script préchargé ne fonctionnera jamais. Thijs Xhaflaire de Jamf écrit que « lorsqu’une porte se ferme, les attaquants en trouvent une autre ». ClickLock est l’autre. Cela permet d’économiser de l’argent et de travailler autour de la personne.
Une boucle de forçage est une section sans première page. Group-IB ne couvre pas les sous-secondes pkill et killall Blast contre Finder, Dock, SystemUIServer et NotificationCenter : “ce comportement est spécifique aux logiciels malveillants à interaction forcée et n’a aucun cas d’utilisation légitime.”
L’ensemble restant de signaux :
security find-generic-passwordappelé à partir d’un script shell plutôt que d’un navigateurosascriptgénérer une fenêtre de mot de passe avec une icône téléchargée depuis/tmp/- Les répertoires de profils de navigateur sont lus en masse, puis consultés
api.telegram.org - curl entre dans bash avec la fin de l’URL
.jpg,.txtou.css - Créer un LaunchAgent
~/Library/LaunchAgents/par procédé shell, combinélaunchctl load
Si votre Mac désinstalle votre application et laisse une zone de mot de passe à l’écran, ne saisissez pas votre mot de passe. Aucune page de confirmation n’a besoin de votre terminal. L’inspection de Cloudflare fonctionne dans le navigateur, et c’est tout l’intérêt.
Group-IB dit d’appuyer sur le bouton d’alimentation jusqu’à ce que la voiture s’éteigne, puis de la démarrer en mode sans échec et de passer à l’étape Shift-at-Starting. Procédure Intel uniquement. Appuyez sur le bouton d’alimentation jusqu’à ce que « Chargement des paramètres de démarrage » s’affiche sur le silicium Apple, sélectionnez le volume, appuyez sur Shift, puis cliquez sur Continuer en mode sans échec.
Le nettoyage est inégal. Les modules malveillants abandonnent leurs propres LaunchAgents et usurpent leurs horodatages ~/Movies briser l’analyse du temps et se détruire. goyim Non. Asseyez-vous dans la boucle, tapez votre mot de passe, regardez le bureau revenir, et vous vous retrouvez avec une belle machine avec une coque inversée. SystemUIServerl depuis ~/Library/Application Support/iCloudsync.
Les opérateurs ClickLock ont travaillé en mai, un mois après la période d’avertissement, et ont créé le mortier. Ce que le rapport ne mentionne pas, c’est si l’une des cibles du Groupe IB l’a vu.
Hacker News a demandé à Group-IB une ventilation de la version macOS derrière ces cibles et mettra à jour cette histoire avec toute réponse.


