ClickLock, το κακόβουλο λογισμικό σε Mac

ClickLock, το κακόβουλο λογισμικό σε Mac

0


Ερευνητές ασφαλείας στο Group-IB  ανακάλυψαν  το ClickLock, ένα νέο κακόβουλο λογισμικό που στοχεύει το macOS για να κλέψει πληροφορίες, το οποίο παρέμεινε απαρατήρητο από όλα τα προγράμματα προστασίας από ιούς που αναφέρονται στο VirusTotal κατά τη στιγμή της ανάλυσης. Χαρακτηριστικό του είναι η πλήρης απουσία οποιασδήποτε τεχνικής εκμετάλλευσης ή αυξημένων δικαιωμάτων συστήματος: το κακόβουλο λογισμικό βασίζεται εξ ολοκλήρου στην κοινωνική μηχανική για να αναγκάσει τους χρήστες να εισάγουν χειροκίνητα τους κωδικούς πρόσβασής τους.  
 


Το Group-IB εντόπισε αυτό το κακόβουλο λογισμικό μετά την υποβολή του στο VirusTotal στις 9 Ιουνίου και το κακόβουλο λογισμικό έχει ήδη μολύνει τουλάχιστον 100 Mac σε 33 χώρες από τον Μάιο. Η αρχική παραβίαση γίνεται μέσω ενός δολώματος τύπου ClickFix: ένα ψεύτικο παράθυρο επαλήθευσης ανθρώπου που μιμείται το Cloudflare ζητά από το θύμα να εκτελέσει μια εντολή στο τερματικό macOS, χωρίς να απαιτείται καμία ευπάθεια λογισμικού.

Μόλις εκτελεστεί, το ClickLock απενεργοποιεί τις διακοπές του πληκτρολογίου και αποκρύπτει τον κέρσορα του τερματικού, καθιστώντας το σύστημα μη ανταποκρινόμενο. Το κέντρο ειδοποιήσεων macOS εξαφανίζεται για έξι ώρες για να αποφευχθούν τυχόν ειδοποιήσεις ασφαλείας. Κατά τη διάρκεια αυτής της περιόδου, δύο ξεχωριστά LaunchAgents (com.authirity.plist και com.chromer.plist) εργάζονται στο παρασκήνιο. Το πρώτο τερματίζει τις σχετικές διεργασίες κάθε 210 χιλιοστά του δευτερολέπτου για 83 ώρες, ενώ το δεύτερο επαναλαμβάνει αυτήν τη λειτουργία κάθε 200 χιλιοστά του δευτερολέπτου για 35 ημέρες, στοχεύοντας συγκεκριμένα στην ασφαλή αποθήκευση της αλυσίδας κλειδιών του Google Chrome για την αποκρυπτογράφηση cookie και κωδικών πρόσβασης. Ένα ψεύτικο παράθυρο διαλόγου, που εμφανίζει το πραγματικό όνομα χρήστη του θύματος και το επίσημο λογότυπο της Apple, ζητά στη συνέχεια τον κωδικό πρόσβασης της περιόδου σύνδεσης, ο οποίος στη συνέχεια εισάγεται και αποστέλλεται απευθείας στο Telegram.

Ενότητες για κλοπή δεδομένων και κρυπτονομισμάτων

Μια ενότητα συλλογής δεδομένων στοχεύει οκτώ προγράμματα περιήγησης (Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc και Chromium), επιτιθέμενη σε αποθηκευμένες συνδέσεις, cookies, δεδομένα αυτόματης συμπλήρωσης, σελιδοδείκτες και δεδομένα τοπικής αποθήκευσης. Στοχεύει επίσης σε πορτοφόλια κρυπτονομισμάτων, είτε πρόκειται για επεκτάσεις προγράμματος περιήγησης είτε για αρχεία επιφάνειας εργασίας, καθώς και σε υλικό πορτοφολιού κρυπτονομισμάτων εκτός σύνδεσης που προορίζεται για hacking, δεδομένα διαχείρισης κωδικών πρόσβασης και διευθύνσεις κρυπτογράφησης στα δίκτυα EVM, Bitcoin, Solana, TRON, TON και Stacks. Η ενότητα ανακτά επίσης αρχεία καταγραφής κελύφους, διαπιστευτήρια FileZilla FTP, πληροφορίες συστήματος και τη δημόσια διεύθυνση IP του μηχανήματος.   

Κάντε κλικ για μεγέθυνση

Όλα αυτά τα δεδομένα συμπιέζονται σε αρχεία ZIP, κόβονται πέραν των 40 MB και στη συνέχεια εξάγονται μέσω του Telegram bot API, προτού η ενότητα αυτοκαταστραφεί.

Μια επίμονη κερκόπορτα χάρη στο GSocket

Σε αντίθεση με τις μονάδες κλοπής δεδομένων που εξαφανίζονται μετά την εκτέλεση, ένα backdoor που βασίζεται σε ένα τροποποιημένο εργαλείο ανοιχτού κώδικα, το GSocket, εγκαθίσταται μόνιμα μέσω του LaunchAgent, του εργαλείου crontab και των ρυθμίσεων του shell. Αυτό το backdoor δημιουργεί πρόσβαση σε αντίστροφο shell μέσω ενός GSocket relay, παρέχοντας στους εισβολείς μόνιμη απομακρυσμένη πρόσβαση στο παραβιασμένο Mac.

Κακόβουλα αρχεία φιλοξενούνται σε προηγουμένως παραβιασμένα νόμιμα domains, γεγονός που περιπλέκει την ανίχνευσή τους και εξηγεί εν μέρει το ιδιαίτερα στενό χρονικό περιθώριο που παρατηρούν οι ερευνητές ασφαλείας. Το Group-IB εντοπίζει διάφορα προειδοποιητικά σημάδια που μπορούν να ειδοποιήσουν τις ομάδες ασφαλείας, όπως ύποπτες κλήσεις στο osascript (ένα βοηθητικό πρόγραμμα που εκτελεί AppleScripts), επαναλαμβανόμενους τερματισμούς διεργασιών, μαζική και μη φυσιολογική πρόσβαση σε προφίλ προγράμματος περιήγησης και εξερχόμενες συνδέσεις με το API του Telegram.


Tags

Δημοσίευση σχολίου

0Σχόλια
* Please Don't Spam Here. All the Comments are Reviewed by Admin.

Please Select Embedded Mode To show the Comment System.*

#buttons=(Accept !) #days=(20)

Our website uses cookies to enhance your experience (Ο ιστότοπός μας χρησιμοποιεί cookies για να βελτιώσει την εμπειρία σας). Learn More
Accept !