Giriş
Yeni bir macOS kötü amaçlı yazılımı olan ClickLock, kullanıcıları sistem oturum şifrelerini girmeye zorlayarak bilgi çalmaktadır. Bu tür tehditlerin artışı, siber güvenlik önlemlerinin ne denli önemli olduğunu gözler önüne seriyor.
Saldırı Nasıl Çalışıyor?
ClickLock, kullanıcıların sistemlerine erişmesine engel olarak her görünür süreci sona erdirir ve bu saikle kullanıcıları oturum şifrelerini girmeye zorlar. Group-IB araştırmacıları, bu zararlı yazılımın 9 Haziran tarihinde VirusTotal üzerine yüklendiğini ve o dönem tüm güvenlik sağlayıcıları tarafından tespit edilmediğini bildirmiştir. Araştırmalar, kötü amaçlı scriptin 100‘den fazla sistemi 33 ülke genelinde enfekte ettiğini ortaya çıkarmıştır.
Kompromise süreci, “ClickFix” adındaki bir oltalama yöntemi ile başlar. Araştırmacılar, Terminal’de geçmişte kaydedilmiş bir zararlı komutun, bir sahte Cloudflare “insan doğrulama” sekansı oluşturduğunu gözlemlemiştir. İşlem sırasında klavye kesintileri devre dışı bırakılır, terminal imleci gizlenir ve arka planda çalıcı modüller indirilir. macOS NotificationCenter da yaklaşık altı saat süreyle susturularak, olayı ortaya çıkarabilecek bildirimlerin önüne geçilir.
Etkilenen Sistemler
ClickLock, hedef aldığı bilgileri çalmak için şu kaynakları hedef alır:
- Veri yedekleme uzantıları: Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc, ve Chromium
- Kayıtlı giriş bilgileri, çerezler, otomatik doldurma verileri, yer imleri ve oturum saklama verileri
- Kripto para cüzdanı uzantıları ve masaüstü cüzdan dosyaları
- Şifre yöneticisi uzantı verileri
- Sistem bilgileri ve genel IP adresi
Kötü amaçlı yazılım, çalınan bilgileri bir ZIP arşivine paketler ve bunu Telegram Bot API aracılığıyla yükler. 40 MB’den büyük dosyalar daha küçük parçalara bölünerek yükleme sırasında yaşanabilecek ağ kesintilerinde tekrar başlatılmasını garanti eden bir mantık da mevcuttur.
Çözüm ve Korunma
ClickLock, kurbanlarını macOS sistem şifrelerini girmeye zorlamak için sosyal mühendislik ve zorlayıcı etkileşim döngüleri kullanmaktadır. Araştırmacılar, şifre istemini başlatarak ve klavye girişlerini devre dışı bırakarak bu süreci gerçekleştiriyor. LaunchAgents aracılığıyla kalıcılık sağlıyor ve kullanıcı şifre girmediği takdirde, çeşitli uygulamaları sona erdirerek hedeflerine ulaşmaya çalışıyor.
Group-IB kullanıcılarına şu uyarılarda bulunmaktadır:
- Terminal’de anlamadığınız komutları yapıştırmaktan kaçının.
- Herhangi bir sistemin tepkisiz kaldığı durumda, açma/kapama düğmesine basarak sistemi zorla kapatın.
- Güvenli Modda başlatarak sistemi kurtarma işlemi gerçekleştirin.
Sonuç olarak, macOS kullanıcılarının bu tehditlere karşı daha dikkatli olmaları ve güvenlik güncellemelerini sürekli takip etmeleri gerekmektedir.


