Uus macOS-i pahavara ClickLock meelitab kasutajaid Terminali käsku kleepima

Ohtude luurefirma Group-IB on kirjeldanud varem dokumenteerimata macOS-i teabevarast nimega ClickLock Stealer. See ei otsi tarkvaravigu ega kasuta ekspluate, vaid meelitab kasutajaid sotsiaalinseneri tehnikaga ClickFix ise end nakatama: nad kleebivad etteantud käsu Terminali. Seejärel varastab pahavara paroole, krüptorahakotte, brauseriandmeid ja muud väärtuslikku. Operatsioon on aktiivne alates maikuust ning on tabanud vähemalt 100 ohvrit 33 riigis, neist üle poole Euroopas.

Group-IB avastas pahavara pärast pahatahtliku shell-skripti analüüsi, mis laaditi VirusTotali 9. juunil ja millel polnud toona ühtegi viirusetõrje tuvastust. Ründajad levitavad seda võltsitud kinnituslehtede kaudu, majutavad koormaid kompromiteeritud WordPressi saitidel ning kasutavad juhtimiseks Telegrami. Pärast käsu kleepimist kuvatakse võlts Cloudflare’i kinnitus koos progressianimatsiooniga, samal ajal laetakse taustal alla lisakomponente. Kõrgendatud õigusi pole vaja.

ClickLock sihib andmeid kaheksast brauserist, 31 krüptorahakoti brauserilaiendusest, seitsmest paroolihalduri laiendusest, kaheksast lauaarvuti rahakotist, macOS-i võtmehoidjast, käsurea ajaloost, FTP-volitustest ja kuue plokiahela aadressidest. See paigaldab muudetud avatud lähtekoodiga GSocketi tööriista kaugjuurdepääsuks. Kui kasutaja ei sisesta macOS-i parooli, sulgeb pahavara korduvalt nähtavaid rakendusi, kuni ohver allub. Taaskäivitamisel jätkavad püsivusmehhanismid rünnakut. Koodistruktuuri põhjal on pahavara endiselt arendamisel. Kogu ahel tugineb ühele usaldushetkele: käsu kleepimisele Terminali. Kaitsjad peavad jälgima kahtlast käitumist, nagu ootamatud paroolipäringud või rakenduste korduv sulgemine, mitte teadaolevaid allkirju.

Loe täispikka artiklit: The Register

Lisa kommentaar