Tıklama Kilidi HırsızıYeni bir macOS bilgi hırsızı olan , kurbanın reddetmesine, giriş şifresini verene kadar uygulamalarını bir döngüde sonlandırarak yanıt veriyor. Terminal'e yapıştırılan bir komut olarak geliyor, sahte bir sistem iletişim kutusunun ardındaki şifreyi soruyor ve kurban iptal ettiğinde iki LaunchAgent kuruyor ve sessizce çıkıyor.

Bir sonraki oturum açma işleminde Finder, Dock, Spotlight, Terminal, Activity Monitor ve başlıca tarayıcılar, 83 saate kadar her 210 milisaniyede bir ölmeye başlar ve ölü bir masaüstünde bir şifre kutusu bırakır. Bunu yazdığınızda makine Anahtarlık'tan, tarayıcı kimlik bilgilerinden ve kripto cüzdanlarından vazgeçer.

Grup-IB'lertelemetriMayıs ayından bu yana 33 ülkede en az 100 hedef sayılıyor ve bunların yarısından fazlası Avrupa'da. Analistler kod yapısından kötü amaçlı yazılımın hala geliştirilme aşamasında olduğunu varsayıyor. 9 Haziran'da VirusTotal'a yüklenen orkestratör komut dosyası sıfır tespit Grup-IB bunu analiz ettiğinde oradaydı.

Ve analistler asla ön kapıyı bulamadılar. Yem sayfalarından biri değil, tüm yük zincirine sahipler. IOC listesinde güvenliği ihlal edilmiş üç yük ana bilgisayarı bulunuyor ve hiçbir cazibeli alan adı yok: açılış sayfası tasarımı, ona hizmet eden alanlar ve bunlara trafik çeken her şey doğrulanmadı.

Tamamlanan bir çalıştırma, operatörün doğrulanmış macOS giriş şifresini, Chrome'un Güvenli Depolama AES anahtarını ve tarayıcı kimlik bilgileri ve çerezleri içeren bir ZIP'i, kripto cüzdan uzantısı depolama alanını, masaüstü cüzdan dosyalarını, şifre yöneticisi kasalarını, Anahtar Zincirini, kabuk geçmişini ve FileZilla'nın kayıtlı sunucu kimlik bilgilerini elinde tutmasını sağlar.

Güvenli Depolama anahtarı kalıcı olanıdır. Chrome'un diskteki kayıtlı şifrelerini ve çerezlerini şifreler; Login Data Ve Cookies saldırganın makinesine her ulaştığında çevrimdışı olarak şifresi çözülür. Group-IB'nin bunu yürüten herkese tavsiyesi: Aktif tarayıcı oturumlarını iptal edin, kaydedilen her şifreyi, çerezi ve cüzdan anahtarını yokmuş gibi değerlendirin ve bunları değiştirin.

Şimdi uyun veya bir sonraki oturum açışınızda uyun

Reddeden kullanıcı uç bir durum değildir. Tasarımın amacı bunlardır. İlk iletişim kutusunu iptal ettiğinizde komut dosyası düşercom.authirity.plist Vecom.chromer.plist içine ~/Library/LaunchAgents/, sonra ayrılır.

Birincisi, bir parola gelene kadar 210 milisaniyelik öldürme döngüsünü başlatır. İkincisi, 0,2 saniyelik aralıklarla 3.000.000 saniyeye kadar (yaklaşık 34,7 gün) kendi öldürme döngüsünü başlatırken, bir arka plan işlemi her yarım saniyede bir Chrome'un Güvenli Depolama Anahtarlığı anahtarını sorgular.

Bu sorgu gerçek bir macOS istemi oluşturur ve döngü, kurban onaylayana kadar masaüstünü rehin tutar. Activity Monitor ve Terminal her iki öldürme listesinde de var. Üçüncü bir döngü, NotificationCenter'ı altı saat boyunca öldürür, dolayısıyla hiçbir Gatekeeper uyarısı oluşturulmaz. Terminalde Tam Disk Erişimi yoksa, orkestratör sağ bölmedeki Sistem Ayarlarını açar ve kurbana bu izni verme konusunda yol gösterir.

Ön uç TıklaDüzelt. Grup-IB bunu yüksek güvenle değerlendiriyor ve bunu hiç görmedi. Senaryo bir alır RAY_ID ilk argüman olarak ve on saniyede on iki durum satırında dolaşan bir ilerleme çubuğunun üzerinde sahte bir Cloudflare CAPTCHA pankartı ile açılıyor. İkisi de hiçbir şey yapmıyor. Terminale yeni bir komut yapıştıran birine güven vermek için varlar.

Altında, script.sh klavye kesintilerini devre dışı bırakır, imleci gizler ve güvenliği ihlal edilmiş iki siteden dört veri yükü çeker. Doğrudan bash'a iki boru. Gizli bir yerde iki ülke$HOME/.cacheb/. Yumuşak sorma birosascript indirilmiş bir Apple simgesinin ve kurbanın gerçek kullanıcı adının bulunduğu iletişim kutusu ve yazılan her şey kontrol edilir dscl /Local/Default -authonly İlk olarak, yalnızca çalışan bir şifrenin gönderilmeye değer olması gerekir.

Bunların neredeyse hiçbiri yeni değil. Microsoft belgelenmiş aynısı dscl Mayıs ayında SHub Stealer'da doğrulama AMOS Ve MacSync aynı macOS ClickFix kampanyaları dalgasında. Telegram exfil ve LaunchAgent kalıcılığı standarttır.

Arka kapı, Yahudi olmayan, kabaca yüzde 80'i genel dağıtım komut dosyasının bir kopyasıdır GSocketThe Hacker's Choice'tan açık kaynaklı bir tünel açma araç seti. Yazarları şunları söylüyor: gs-netcat Kendi başına bir C2 sunucusuna ihtiyaç duymayan, şifrelenmiş bir ters arka kapı olarak bileşen. Bunun yerine bir röleye biniyor.

Grup-IB bu kopyanın izini şu adresteki bir operatör rölesine kadar sürdü: gsnc[.]eu:67, ikili dosya gsocket.io'nun kendisinden alınmıştır. Çalınan veriler, biri saldırıya uğramış bir WordPress sitesi olan, temiz itibara sahip, güvenliği ihlal edilmiş üç alanda bulunuyor ve bu aktarımlar üç Telegram botu aracılığıyla yapılıyor. Grup-IB, özel bir komuta ve kontrol altyapısı gözlemlemedi.

MacOS'ta ikili dosya,iCloudiçinde~/Library/Application Support/iCloudsync olarak yer alır ve süreç, gerçek olandan bir harf uzakta olacak şekilde SystemUIServerlolarak çalışır.

Apple zaten bu kapıyı kapatmaya çalıştı

macOS 26.4 Mart ayının sonlarında gönderildi. Terminal şüpheli yapıştırma etkinliğini gördüğünde uyarı verir ve bilinen kötü amaçlı yazılım olarak tanıdığı her şeyi doğrudan engeller; Microsoft, ClickFix dağıtımına doğrudan bir yanıt olarak işaret ettiği bir hafifletici önlemdir.

Apple'ın kendi belgeleri ne kadar yer kaldığını gösterir: uyarı yalnızca Terminal'i düzenli olarak kullanmıyorsanız verilir ve Yine de Yapıştır düğmesiyle birlikte gönderilir. Sabit bloğun kötü amaçlı yazılımı zaten bilmesi için macOS'a ihtiyacı var.

Haftalar içinde o odada zıt yönlerde iki kampanya yürütüldü. Jamf Threat LabsNisan ayında, Komut Dosyası Düzenleyicisi'ni yük önceden yüklenmiş olarak açmak için birURL'si kullanarak yapıştırmayı tamamen önleyen bir belgeyi belgelediapplescript://, böylece kontrol hiçbir zaman tetiklenmiyor. Jamf'ten Thijs Xhaflaire, "bir kapı kapandığında saldırganlar başka bir kapı buluyor" diye yazdı. ClickLock diğeridir. Macunu sakladı ve bunun yerine kişinin etrafında tasarlandı.

Zorlama döngüsü, kapak hikayesi olmayan tek kısımdır. Group-IB, Finder, Dock, SystemUIServer ve NotificationCenter'a karşı saniyenin altındakipkill ve killall patlamalara karşı koruma sağlamaz: "bu davranış, zorunlu etkileşimli kötü amaçlı yazılımlara özgüdür ve meşru bir kullanım durumu yoktur."

Sinyal kümesinin geri kalanı:

  • security find-generic-password tarayıcı yerine bir kabuk komut dosyasından çağrılır
  • osascript dan alınan simgelerle şifre diyalogları oluşturur /tmp/
  • Tarayıcı profili dizinlerinin toplu okunması ve ardından URL'ninapi.telegram.org
  • ile bittiği bash'a yönlendirilen trafik gelir.jpg.txtveya .css
  • Bir kabuk işlemiyle~/Library/LaunchAgents/içinde LaunchAgent oluşturma, eşleştirilmiş ile launchctl load

Mac kendi uygulamalarını kapatmaya başlarsa ve ekranda bir şifre kutusu bırakırsa şifreyi yazmayın. Hiçbir doğrulama sayfasının Terminalinize ihtiyacı yoktur. Cloudflare'in kontrolü tarayıcıda çalışıyor, asıl mesele de bu.

Group-IB, makine kapanana kadar güç düğmesini basılı tutmayı, ardından Güvenli Modda başlatmayı söylüyor ve başlangıçta Shift adımı yalnızcaIntel prosedürüdür. Apple silikonda, "Başlangıç ​​seçenekleri yükleniyor" görünene kadar güç düğmesini basılı tutun, ses seviyesini seçin, ardından Shift tuşunu basılı tutun ve Güvenli Modda Devam Et'i tıklayın.

Temizleme düzensiz. Çalma modülleri kendi LaunchAgent'larını kaldırır, zaman çizelgesi analizini bozmak için zaman damgalarını taklit eder~/Moviesve kendilerini siler. goyim değil. Döngünün içinden geçin, şifreyi yazın, masaüstünün geri dönüşünü izleyin ve geriye kalan, üzerinde ters kabuk bulunan, iyi görünen,SystemUIServerl olarak çalışan~/Library/Application Support/iCloudsync.

ClickLock operatörlerinin Mayıs ayında, yani uyarının ömrünün bitiminden bir ay sonra başlatıldığı ve yapıştırma için oluşturulduğu bir makinedir. Grup-IB'nin hedeflerinden birinin bunu görüp görmediği ise raporda belirtilmeyen bir konu.

Hacker News, Group-IB'den bu hedeflerin arkasındaki macOS sürümünün dökümünü istedi ve herhangi bir yanıtla bu hikayeyi güncelleyecek.

Bu makaleyi ilginç buldunuz mu? Yayınladığımız daha fazla özel içeriği okumak için biziGoogle Haberler'de, Twitter'da and LinkedIn'detakip edin.