New ClickLock macOS malware traps users into revealing login password
Mis à jour :
ClickLock : Le malware macOS qui extorque vos mots de passe par la force
Le malware ClickLock est une menace sophistiquée ciblant macOS, utilisant des techniques d’ingénierie sociale et une boucle de blocage système pour contraindre les utilisateurs à révéler leur mot de passe administrateur. Détecté dans 33 pays, ce programme malveillant installe une porte dérobée persistante et exfiltre une vaste quantité de données sensibles via l’API Telegram.
Points clés
- Vecteur d’attaque : Utilisation d’une technique de type « ClickFix ». L’utilisateur est invité à copier-coller une commande dans le Terminal (souvent via une fausse vérification Cloudflare), déclenchant le téléchargement du malware.
- Mécanisme de coercition : Le malware ferme en boucle les applications système (Finder, Dock, navigateurs, etc.) toutes les quelques millisecondes, rendant l’ordinateur inutilisable jusqu’à ce que l’utilisateur saisisse son mot de passe système dans une fausse fenêtre d’authentification.
- Vol de données : Cible les navigateurs (identifiants, cookies, données d’autocomplétion), les portefeuilles de cryptomonnaies, les extensions de gestionnaires de mots de passe et l’historique shell.
- Persistance : Utilise des
LaunchAgentset des outils comme GSocket pour maintenir un accès à distance via un shell inversé.
Vulnérabilités
- Absence de CVE : Ce malware n’exploite aucune vulnérabilité logicielle (CVE) spécifique. Il repose entièrement sur l’ingénierie sociale et l’abus de fonctionnalités légitimes de macOS (ex:
osascriptpour afficher des fenêtres, boucles de terminaison de processus) pour manipuler l’utilisateur.
Recommandations
- Ne jamais exécuter de commandes inconnues : Ne copiez-collez jamais de commandes dans le Terminal, surtout si elles proviennent d’un site web, quel que soit l’aspect professionnel de la page.
- Réaction en cas d’infection : Si le système semble bloqué par une invite de mot de passe suspecte, ne saisissez rien. Forcez l’arrêt de la machine en maintenant le bouton d’alimentation enfoncé, puis redémarrez en Mode sans échec pour nettoyer le système.
- Surveillance comportementale : Les équipes de sécurité doivent surveiller les activités suspectes telles que :
- L’exécution répétée de
osascriptpour générer des fenêtres d’authentification. - La fermeture anormale et répétée des processus système.
- L’accès massif aux répertoires de profils des navigateurs.
- Les connexions sortantes vers l’API Telegram.
- L’exécution répétée de
