Mechanizm działania i cel ataku
ClickLock Stealer został zaprojektowany w celu kradzieży szerokiego spektrum poufnych danych. Oprogramowanie przeszukuje zainfekowane systemy w poszukiwaniu informacji z przeglądarek internetowych, portfeli kryptowalutowych oraz rozszerzeń do menedżerów haseł. Ponadto malware potrafi przejąć adresy blockchain z sześciu różnych sieci, dane logowania FTP, historię powłoki systemowej oraz zawartość pęku kluczy (macOS Keychain). Wszystkie pozyskane dane są archiwizowane i przesyłane do atakującego za pośrednictwem bota w komunikatorze Telegram.
Choć dokładny sposób dystrybucji nie został w pełni potwierdzony, badacze przypuszczają, że przestępcy wykorzystują techniki takie jak pozycjonowanie stron (SEO poisoning), media społecznościowe lub przejęte witryny internetowe. Ofiary są kierowane na fałszywą stronę weryfikacyjną, stylizowaną na usługę Cloudflare, gdzie otrzymują instrukcję skopiowania i uruchomienia komendy bash w terminalu systemowym. Po wykonaniu tego kroku, na komputerze pobierany jest skrypt sterujący, który następnie instaluje cztery dodatkowe moduły: kradnące dane logowania, portfele kryptowalut, zawartość pęku kluczy oraz instalator typu backdoor. Po zakończeniu operacji większość skryptów jest usuwana, aby zatrzeć ślady, jednak backdoor pozostaje w systemie.
Omijanie zabezpieczeń systemu macOS
Skuteczność ClickLock Stealer wynika z faktu, że użytkownik sam nadaje mu uprawnienia, uruchamiając złośliwy kod bezpośrednio w terminalu. Dzięki temu malware nie musi korzystać z luk w zabezpieczeniach ani przeprowadzać eskalacji uprawnień. Aby przejąć kontrolę nad systemem, oprogramowanie stosuje agresywne pętle zamykania procesów:
Tło pętli zaczyna również stale wyłączać macOS NotificationCenter na około 6 godzin, tłumiąc wszelkie ostrzeżenia Gatekeepera lub zabezpieczeń, które mogłyby zaalarmować ofiarę.
W przypadku prób uzyskania dostępu do klucza szyfrującego Chrome Safe Storage, który chroni hasła w przeglądarce, malware ponownie wymusza na użytkowniku autoryzację, blokując dostęp do innych funkcji systemu do momentu, aż ofiara nie udzieli wymaganej zgody.