Cảnh báo mã độc ClickLock: ‘Bắt cóc’ macOS, ép người dùng nhập mật khẩu bằng cách vô hiệu hóa ứng dụng
Một loại infostealer mới trên macOS mang tên ClickLock đang sử dụng thủ đoạn cưỡng ép tinh vi: liên tục tắt các ứng dụng hệ thống cho đến khi nạn nhân chịu nhập mật khẩu đăng...
Các chuyên gia bảo mật từ Group-IB vừa phát hiện một loại mã độc (infostealer) mới nhắm vào người dùng macOS có tên là ClickLock. Điểm khác biệt đáng sợ của loại malware này là khả năng ‘bắt cóc’ máy tính bằng cách liên tục ép đóng các ứng dụng quan trọng cho đến khi người dùng chịu cung cấp mật khẩu hệ thống.
Cơ chế tấn công ‘cưỡng ép’
ClickLock thường xâm nhập thông qua các lệnh được người dùng vô tình dán vào Terminal. Khi khởi chạy, nó hiển thị một hộp thoại giả mạo yêu cầu mật khẩu. Nếu người dùng từ chối hoặc hủy bỏ, mã độc sẽ cài đặt các LaunchAgents để duy trì sự hiện diện. Ở lần đăng nhập tiếp theo, hàng loạt ứng dụng thiết yếu như Finder, Dock, Spotlight, Terminal, Activity Monitor và các trình duyệt web sẽ bị tắt liên tục mỗi 210 mili giây.
Tình trạng này kéo dài cho đến khi nạn nhân nhập mật khẩu. Một khi đã có được mật khẩu, kẻ tấn công có thể chiếm đoạt toàn bộ Keychain, thông tin đăng nhập trình duyệt, ví tiền điện tử và các dữ liệu nhạy cảm khác.
Kỹ thuật tinh vi và sự phát triển
Dù vẫn đang trong giai đoạn phát triển, ClickLock đã ghi nhận hơn 100 nạn nhân tại 33 quốc gia kể từ tháng 5. Mã độc này sử dụng kỹ thuật ClickFix để tạo lòng tin, bao gồm cả việc hiển thị thanh tiến trình giả mạo và thông báo CAPTCHA của Cloudflare.
Đáng chú ý, ClickLock sử dụng một backdoor có tên goyim, vốn là biến thể của công cụ tunneling mã nguồn mở GSocket. Nó không cần server C2 (Command & Control) chuyên dụng mà tận dụng các relay có sẵn, khiến việc truy vết trở nên khó khăn hơn.
Khuyến cáo bảo mật
Các chuyên gia nhấn mạnh rằng không có quy trình xác thực hợp lệ nào yêu cầu người dùng dán lệnh vào Terminal. Nếu máy tính có dấu hiệu tự động đóng ứng dụng và yêu cầu nhập mật khẩu liên tục, người dùng cần:
- Tuyệt đối không nhập mật khẩu.
- Tắt máy bằng phím nguồn (hard shutdown).
- Khởi động lại máy ở chế độ Safe Mode để loại bỏ các tệp tin độc hại.
- Sau khi đã bị nhiễm, cần coi như toàn bộ mật khẩu, cookie và khóa ví điện tử đã bị lộ và phải thực hiện thay đổi ngay lập tức.
Apple đã triển khai các biện pháp cảnh báo khi người dùng dán lệnh vào Terminal trên các phiên bản macOS mới, tuy nhiên kẻ tấn công vẫn liên tục tìm ra các lỗ hổng (exploit) mới để vượt qua (bypass) các rào cản này. Người dùng cần hết sức cảnh giác với các lệnh lạ được yêu cầu dán vào Terminal từ các nguồn không xác định.
Nguồn tham khảo: The Hacker News
No Comment! Be the first one.