\nEspecialistas do Group-IB descobriram um novo malware para macOS, chamado ClickLock, que encerra todos os processos ativos do sistema para forçar os usuários a inserir uma senha para fazer login. O software foi projetado para roubar ativos de criptomoeda, dados de navegador, gerenciadores de senhas e outras informações confidenciais.\n\nDe acordo com o BleepingComputer, ClickLock é um script de shell com um conjunto de comandos maliciosos que já conseguiu infectar pelo menos 100 dispositivos em 33 países. Acredita-se que a infecção comece por meio de um esquema ClickFix (engenharia social) que incentiva o usuário a colar um comando no terminal sob o disfarce de “verificação humana” da Cloudflare com uma barra de progresso animada.\n\nDepois de executado, o script desativa os atalhos do teclado, oculta o cursor no terminal e interrompe o macOS Action Center por aproximadamente seis horas enquanto baixa módulos adicionais. A tela exibe uma janela falsa de entrada de senha do macOS contendo o nome de usuário real e o logotipo da Apple. Se a senha for inserida, ela será verificada e enviada aos invasores no Telegram por meio da API do bot.\n\n

\n\nFonte da imagem: Group-IB\n\nSe o usuário se recusar a inserir a senha, o ClickLock será protegido no sistema usando o LaunchAgent (um script especial em segundo plano) e será reativado após o próximo login no macOS. Depois disso, o malware desliga os principais processos a cada 210 milissegundos, incluindo o gerenciador de arquivos Finder, o Dock, navegadores da web e outros componentes do sistema, deixando apenas a janela de entrada de senha na tela. Este ciclo pode durar cerca de 83 horas ou até que a senha correta seja inserida. Além disso, um segundo LaunchAgent solicita acesso ao Keychain Access em intervalos de 200 milissegundos para obter acesso à chave de segurança criptografada (Chrome Safe Storage).\n\nOs dados também são coletados dos navegadores Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc e Chromium, incluindo senhas salvas, cookies, dados de preenchimento automático, favoritos e armazenamento local. Além disso, o malware rouba dados de carteiras de criptomoedas, extensões de gerenciadores de senhas, histórico de comandos do shell, configuração do FileZilla, informações do sistema e endereços IP públicos. As informações coletadas são arquivadas em um arquivo ZIP e também transmitidas aos invasores via Telegram, com arquivos maiores que 40 MB automaticamente divididos em partes.\n\nO componente final do ClickLock é uma versão modificada da ferramenta de código aberto GSocket, que fornece acesso remoto permanente ao sistema infectado. Segundo especialistas do Grupo-IB, é difícil detectar este software devido ao uso de domínios legítimos comprometidos e à autodestruição da maioria dos módulos após a execução. Para se proteger, os pesquisadores recomendam não executar comandos no terminal cuja origem seja desconhecida.e se a janela de entrada de senha aparecer simultaneamente com o congelamento do sistema, desligue o computador à força mantendo pressionado o botão liga/desliga e carregue o macOS no modo de segurança.\n

By admin

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *