ClickLock Stealer: come un Mac diventa una trappola per le password e come proteggersi

ClickLock Stealer: come un Mac diventa una trappola per le password e come proteggersi

ClickLock Stealer: come un Mac diventa una trappola per le password e come proteggersi

Se utilizzi un computer Mac, è fondamentale sapere che un nuovo tipo di malware, chiamato ClickLock Stealer, può trasformare il tuo dispositivo in una vera e propria trappola per le password. Questo virus non si limita a rubare dati: blocca attivamente il tuo computer, eliminando ripetutamente tutte le applicazioni visibili, inclusi Finder, Terminal e i browser, ogni 210 millisecondi, fino a quando non inserisci la password di sistema corretta in un prompt ingannevole. La soluzione immediata è non eseguire mai comandi copiati da siti web nel Terminale e, se il tuo Mac è già compromesso, smettere immediatamente di usare il dispositivo per attività sensibili come banking o email, cambiando le password da un altro computer sicuro.

Questa nuova infezione rappresenta una evoluzione significativa delle tecniche di social engineering, sfruttando la fiducia degli utenti nelle istruzioni apparentemente legittime. A differenza dei tradizionali virus che si installano silenziosamente, ClickLock Stealer richiede un’azione volontaria dell’utente per essere attivato, ma una volta lanciato, il controllo del sistema viene completamente sottratto. Il malware non chiede solo la password: costringe l’utente a fornirla attraverso un loop di coercizione digitale che rende impossibile l’uso del computer per qualsiasi altro scopo. La comprensione di questo meccanismo è vitale per chiunque utilizza dispositivi Apple, specialmente in contesti di lavoro o per gestione di dati finanziari.

Come avviene l’inganno iniziale

Il punto di partenza di questa infezione è quasi sempre un messaggio di marketing o una newsletter che sembra provenire da un contatto fidato. L’utente riceve un link che porta a un sito web legittimo ma compromesso. Questo sito esegue una serie di controlli per identificare se il visitatore è un target adatto: verifica la posizione geografica, la lingua e, soprattutto, il sistema operativo. Se il dispositivo è un Mac, il sito mostra una pagina di inganno specifica per Apple, progettata per sembrare una guida utile o un tool di installazione.

La pagina ingannevole fornisce istruzioni apparentemente semplici: aprire Spotlight (prestando Command + Space), selezionare Terminal, e copiare un comando fornito sul sito. L’utente, convinto di eseguire una procedura di manutenzione o di installazione di un software utile, copia e incolla il comando nel Terminale e lo esegue. Questo è il momento critico: l’azione di eseguire il comando scarica e installa immediatamente il payload del malware, in questo caso ClickLock Stealer, sul dispositivo. Non c’è bisogno di scaricare file eseguibili; l’infezione avviene tramite lo script stesso, bypassando molte delle protezioni tradizionali contro i file dannosi.

Il meccanismo della trappola: il loop di coercizione

Una volta installato, il malware non si manifesta immediatamente. Esce silenziosamente, installando due LaunchAgents che garantiscono la sua persistenza sul sistema. Questi agenti di lancio assicurano che il malware venga attivato automaticamente al prossimo riavvio o login dell’utente. Il vero attacco inizia solo quando l’utente si riconnette al sistema.

Al primo login dopo l’installazione, il modulo zsh.txt del malware si attiva. Inizia un processo aggressivo e implacabile: il sistema inizia a eliminare ogni applicazione visibile ogni 210 millisecondi (circa 0,2 secondi). Questo include Finder, il Dock, Spotlight, SystemUIServer, tutti i principali browser (come Safari, Chrome, Firefox), Terminal, la shell fish, e, cosa cruciale per la diagnosi, Activity Monitor. L’unico elemento che rimane sullo schermo è un dialogo di password che appare come un prompt di sistema legittimo macOS.

Il loop di coercizione è progettato per essere psicologicamente devastante. L’utente vede il desktop apparire e scomparire in un ritmo frenetico, con le applicazioni che si chiudono e si riaprono (o non si riaprono mai) in continuazione. L’obiettivo è creare un senso di urgenza e confusione, spingendo l’utente a inserire la password per fermare l’attacco. Il malware monitora un file di flag per la stringa “successfully”; se questa condizione non è soddisfatta, il loop di eliminazione continua per ore, potenzialmente fino a 83 ore, rendendo il computer praticamente inutilizzabile per qualsiasi compito diverso dall’inserimento della password.

Cosa succede quando inserisci la password

Quando l’utente, sotto pressione, inserisce la password corretta nel prompt ingannevole, il malware non si ferma. In realtà, questo è il momento in cui l’attacco raggiunge il suo obiettivo principale. Il sistema valida la password in tempo reale utilizzando i servizi di directory macOS. Se la password è corretta, il malware scrive la stringa “successfully” nel file di flag, interrompendo il loop di eliminazione delle applicazioni.

Tuttavia, il danno è già stato compiuto. Il malware ha ora accesso completo al sistema e inizia a raccogliere i dati sensibili. In particolare, ClickLock Stealer estrae:

  • L’intero database Keychain di macOS, che contiene tutte le password salvate dal sistema.
  • Le credenziali di tutti i browser, inclusi i dati di salvataggio delle password e le cookie di sessione live.
  • Le informazioni di 16 wallet di criptovalute standalone, rendendo i fondi digitali immediatamente accessibili agli attaccanti.
  • File e documenti personali dal sistema macOS.
  • Dati di Telegram, Note macOS e altre applicazioni sensibili.

Il malware sostituisce anche le estensioni di wallet criptato come Ledger Live e Trezor Suite con versioni false e dannose, compromettendo ulteriormente la sicurezza degli asset digitali. Inoltre, il malware utilizza un dialogo persistente e non chiusibile che mimetizza il prompt di sistema, loadando le icone standard di macOS dalle risorse locali per aumentare l’inganno. Se l’utente tenta di inserire una password errata, il dialogo riappare immediatamente, mantenendo l’interfaccia utente sotto controllo fino all’inserimento della password corretta.

Strategie di occultamento e bypass delle sicurezza

ClickLock Stealer non si limita a eliminare le applicazioni; utilizza diverse strategie per evitare di essere rilevato o interrotto. Una delle tecniche più sofisticate è l’attacco continuo al NotificationCenter di macOS. Il malware esegue un loop di eliminazione di NotificationCenter per circa 6 ore, sopprimendo qualsiasi notifica di Gatekeeper o avviso di sicurezza che potrebbe alertare l’utente. Questo significa che l’utente potrebbe non vedere alcun messaggio di avviso che indica che un’applicazione non è verificata o che un processo è dannoso.

Inoltre, il malware sfrutta le API di Directory Services di macOS per validare la password in tempo reale, imitando il comportamento legittimo del sistema operativo. Questo rende il prompt ingannevole estremamente convincente, poiché si comporta esattamente come il prompt di autenticazione reale di macOS. Il malware bypassa anche i controlli di sicurezza come Gatekeeper e XProtect sfruttando la tecnica ClickFix, che non richiede l’installazione di un file eseguibile ma si basa sull’azione volontaria dell’utente di eseguire un comando nel Terminale.

Come proteggersi e rimuovere il malware

La prevenzione è la strategia più efficace contro ClickLock Stealer. La regola fondamentale è: non eseguire mai comandi copiati da siti web nel Terminale. Nessun sito legittimo, inclusi i siti di verifica CAPTCHA o le guide di installazione, richiede che l’utente copia e incolla comandi nel Terminale. Se un sito ti chiede di fare questo, è quasi certamente un tentativo di inganno.

Ecco le azioni immediate per proteggere il tuo Mac:

  • Non cliccare su contenuti sponsorizzati o annunci: Se sei interessato a un software, cerca il sito ufficiale online e verifica l’autenticità. Scarica solo tramite il sito ufficiale o il Mac App Store.
  • Non dare mai la password di sistema a un pop-up: Verifica sempre che il prompt di sistema sia reale. I malware come ClickLock Stealer impersonano le notifiche di sistema per rubare le password.
  • Utilizza un antivirus affidabile: Installa un antivirus Mac di fiducia, come Moonlock o Malwarebytes, per prevenire infezioni e rimuovere malware già presenti.
  • Usa un wallet cripto freddo: Per gli asset digitali, mantieni i criptovalute su un wallet freddo o su siti online sicuri, non sul dispositivo principale.

Se pensi che il tuo Mac sia già compromesso, agisci immediatamente:

  1. Smetti di usare il dispositivo per attività sensibili: Non accedere a conti bancari, email o account lavorativi.
  2. Cambia le password da un dispositivo sicuro: Inizia con email, banking e Apple ID.
  3. Revoca l’accesso: Disconnettiti da tutte le sessioni active e revoca i token API e le chiavi SSH.
  4. Controlla i file sospetti: Cerca file anomali in /tmp e ~/Library/LaunchAgents/.
  5. Esegui una scansione completa: Usa Malwarebytes o un altro antivirus per detectare e rimuovere il malware.

Technical Deep Dive

Per gli utenti tecnici e gli analisti di sicurezza, è fondamentale comprendere l’architettura interna di ClickLock Stealer per sviluppare contromisure efficaci. Il malware è composto da diversi moduli che lavorano in sinergia per garantire la persistenza, l’occultamento e l’estrazione dei dati.

Architettura del malware

Il payload principale di ClickLock Stealer è un MachO binary scaricato e eseguito con permessi di livello utente. Questo binario è il cuore del malware, responsabile dell’inizializzazione dei moduli secondari. Il malware utilizza AppleScript per creare il dialogo ingannevole, sfruttando le funzionalità native di macOS per mimetizzare il prompt. L’AppleScript carica le icone di sistema reali da risorse locali, rendendo il prompt quasi indistinguibile da quello legittimo.

Modulo di persistenza: LaunchAgents

Il malware installa due LaunchAgents in ~/Library/LaunchAgents/. Questi agenti sono file XML che definiscono come e quando un processo deve essere avviato. In questo caso, i LaunchAgents assicurano che il modulo zsh.txt e il loop di coercizione siano avviati automaticamente al login dell’utente. La persistenza è garantita anche tramite la modifica delle configurazioni di sistema che permettono l’attivazione automatica di script al riavvio.

Loop di eliminazione delle applicazioni

Il modulo di coercizione utilizza un loop di eliminazione che monitora i processi attivi e li elimina ogni 210 millisecondi. Il codice di questo loop è scritto in zsh (Z Shell), una shell comune su macOS. Il modulo zsh.txt attiva il processo di eliminazione, che include:

  • Finder: Il gestore di file principale di macOS.
  • Dock: L’interfaccia grafica per l’accesso alle applicazioni.
  • Spotlight: Il sistema di ricerca integrato.
  • Terminal: La shell per l’esecuzione di comandi.
  • Activity Monitor: L’applicazione per il monitoraggio dei processi, fondamentale per la diagnosi.
  • Browser: Safari, Chrome, Firefox, e altri.

Il loop continua fino a quando il file di flag non contiene la stringa “successfully”, che viene scritta solo dopo l’inserimento della password corretta.

Bypass di Gatekeeper e XProtect

ClickLock Stealer bypassa i controlli di sicurezza di macOS come Gatekeeper e XProtect sfruttando la tecnica ClickFix. Gatekeeper verifica che le applicazioni siano firmate digitalmente e non siano dannose, ma non può bloccare l’esecuzione di comandi nel Terminale se l’utente li esegue volontariamente. XProtect, il sistema di protezione integrato di macOS, è progettato per prevenire l’installazione di malware, ma non può impedire l’esecuzione di script AppleScript che mimetizzano prompt di sistema legittimi.

Estrazione dei dati sensibili

Il modulo di estrazione dei dati utilizza le API di Directory Services di macOS per validare la password in tempo reale. Una volta validata, il malware accede al Keychain di macOS, che contiene tutte le password salvate. Utilizza anche le API di Chrome Safe Storage per decifrare le password e i dati di browser. Il malware estrae:

  • Database Keychain: Tutte le password salvate nel sistema.
  • Cookie di sessione: Dati di sessione live per 12 browser.
  • Estensioni browser: Oltre 200 estensioni, incluse quelle per wallet cripto.
  • Wallet criptovalute: 16 wallet standalone, inclusi Ledger Live e Trezor Suite.
  • File personali: Documenti e file dal sistema macOS.

Occultamento e soppressione delle notifiche

Il malware utilizza un loop di eliminazione di NotificationCenter per circa 6 ore, sopprimendo le notifiche di Gatekeeper e XProtect. Questo permette al malware di operare senza alertare l’utente. Inoltre, il malware utilizza un dialogo persistente e non chiusibile che mimetizza il prompt di sistema, rendendo difficile per l’utente chiudere il dialogo o interrompere l’attacco.

Analisi forense e rimozione

Per analizzare e rimuovere ClickLock Stealer, gli analisti di sicurezza devono:

  1. Identificare i LaunchAgents: Controllare ~/Library/LaunchAgents/ per file XML sospetti.
  2. Analizzare il modulo zsh.txt: Studiare il codice del modulo di coercizione per comprendere il loop di eliminazione.
  3. Monitorare i processi attivi: Usare strumenti come ps o top per identificare i processi che vengono eliminati ripetutamente.
  4. Controllare il file di flag: Verificare se il file di flag contiene la stringa “successfully”.
  5. Eseguire una scansione antivirus: Usare Malwarebytes o Moonlock per detectare e rimuovere il malware.

La comprensione di questi meccanismi è essenziale per sviluppare contromisure efficaci e proteggere i sistemi macOS da future infezioni simili. Gli utenti tecnici devono essere consapevoli che la tecnica ClickFix, che sfrutta l’azione volontaria dell’utente, è una delle più difficili da prevenire con le tradizionali protezioni antivirus, richiedendo quindi una maggiore attenzione alla sicurezza comportamentale e alla verifica delle fonti prima di eseguire qualsiasi comando nel Terminale.

Fonte: https://t.me/thehackernews/9523

Torna in alto