\nEspecialistas do Group-IB descobriram um novo malware para macOS, chamado ClickLock, que encerra todos os processos ativos do sistema para forçar os usuários a inserir uma senha para fazer login. O software foi projetado para roubar ativos de criptomoeda, dados de navegador, gerenciadores de senhas e outras informações confidenciais.\n\nDe acordo com o BleepingComputer, ClickLock é um script de shell com um conjunto de comandos maliciosos que já conseguiu infectar pelo menos 100 dispositivos em 33 países. Acredita-se que a infecção comece por meio de um esquema ClickFix (engenharia social) que incentiva o usuário a colar um comando no terminal sob o disfarce de “verificação humana” da Cloudflare com uma barra de progresso animada.\n\nDepois de executado, o script desativa os atalhos do teclado, oculta o cursor no terminal e interrompe o macOS Action Center por aproximadamente seis horas enquanto baixa módulos adicionais. A tela exibe uma janela falsa de entrada de senha do macOS contendo o nome de usuário real e o logotipo da Apple. Se a senha for inserida, ela será verificada e enviada aos invasores no Telegram por meio da API do bot.\n\n

\n\nFonte da imagem: Group-IB\n\nSe o usuário se recusar a inserir a senha, o ClickLock será protegido no sistema usando o LaunchAgent (um script especial em segundo plano) e será reativado após o próximo login no macOS. Depois disso, o malware desliga os principais processos a cada 210 milissegundos, incluindo o gerenciador de arquivos Finder, o Dock, navegadores da web e outros componentes do sistema, deixando apenas a janela de entrada de senha na tela. Este ciclo pode durar cerca de 83 horas ou até que a senha correta seja inserida. Além disso, um segundo LaunchAgent solicita acesso ao Keychain Access em intervalos de 200 milissegundos para obter acesso à chave de segurança criptografada (Chrome Safe Storage).\n\nOs dados também são coletados dos navegadores Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc e Chromium, incluindo senhas salvas, cookies, dados de preenchimento automático, favoritos e armazenamento local. Além disso, o malware rouba dados de carteiras de criptomoedas, extensões de gerenciadores de senhas, histórico de comandos do shell, configuração do FileZilla, informações do sistema e endereços IP públicos. As informações coletadas são arquivadas em um arquivo ZIP e também transmitidas aos invasores via Telegram, com arquivos maiores que 40 MB automaticamente divididos em partes.\n\nO componente final do ClickLock é uma versão modificada da ferramenta de código aberto GSocket, que fornece acesso remoto permanente ao sistema infectado. Segundo especialistas do Grupo-IB, é difícil detectar este software devido ao uso de domínios legítimos comprometidos e à autodestruição da maioria dos módulos após a execução. Para se proteger, os pesquisadores recomendam não executar comandos no terminal cuja origem seja desconhecida.e se a janela de entrada de senha aparecer simultaneamente com o congelamento do sistema, desligue o computador à força mantendo pressionado o botão liga/desliga e carregue o macOS no modo de segurança.\n

admin

Postagens recentes

DOOM: A Idade das Trevas – Revelações. Sem revelações. Análise

\nJogado no PC\n\nO DLC Revelations saiu com um histórico de informações extremamente difícil - os…

25 minutos atrás

Na onda do sucesso: uma semana após o lançamento, as vendas de Assassin’s Creed Black Flag Resynced atingiram novos patamares

\nMais de uma semana se passou desde o lançamento do jogo de ação pirata em…

3 horas atrás

Um americano foi preso sob suspeita de roubar criptomoedas por meio de um vírus escondido em jogos Steam.

O FBI prendeu Zyaire Dontaevious Zamarion Wilkins, de 21 anos, na Flórida, e o acusou…

4 horas atrás

A TSMC se vangloriou de seu sucesso no desenvolvimento da tecnologia de processo A14 de 1,4 nm – ela está se desenvolvendo mais rápido que o N2

\nNos últimos três meses, a TSMC fez progressos significativos no desenvolvimento da tecnologia de processo…

4 horas atrás

Ex-engenheiro de foguetes cria minúsculo drone caçador de mosquitos

\nUm ex-engenheiro da desenvolvedora e fabricante europeia de sistemas de mísseis MBDA, Alex Toussaint, desenvolveu…

4 horas atrás