Сегодня 18 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Исследователи обнаружили вирус ClickLock для macOS, ворующий пароли и криптовалюту

Специалисты Group-IB обнаружили новое вредоносное ПО для macOS, получившее название ClickLock, которое завершает все активные процессы системы, чтобы заставить пользователей ввести пароль для входа. ПО предназначено для кражи криптовалютных активов, данных браузеров, менеджеров паролей и другой конфиденциальной информации.

 Источник изображения: AI

Источник изображения: AI

По сообщению BleepingComputer, ClickLock представляет собой shell-скрипт с набором вредоносных команд, который уже успел заразить не менее 100 устройств в 33 странах. Предположительно, заражение начинается через схему ClickFix (метод социальной инженерии), побуждающую пользователя вставить команду в терминал под видом «проверки на человека» Cloudflare с анимированной полосой прогресса.

После запуска скрипт отключает сочетания клавиш, скрывает курсор в терминале и прекращает работу Центра уведомлений macOS примерно на шесть часов, одновременно загружая дополнительные модули. Затем на экране отображается поддельное окно ввода пароля macOS, содержащее настоящее имя пользователя и логотип Apple. Если пароль вводится, он проверяется и отправляется злоумышленникам в Telegram через API бота.

 Источник изображения: Group-IB

Источник изображения: Group-IB

При отказе пользователя ввести пароль ClickLock закрепляется в системе с помощью LaunchAgent (специального фонового сценария) и повторно активируется после следующего входа в macOS. После этого вредоносная программа каждые 210 миллисекунд завершает работу основных процессов, включая файловый менеджер Finder, панель Dock, веб-браузеры и другие компоненты системы, оставляя на экране только окно ввода пароля. Этот цикл способен продолжаться около 83 часов либо до момента ввода корректного пароля. Дополнительно второй LaunchAgent с интервалом 200 миллисекунд запрашивает доступ к «Связке ключей» для получения доступа к зашифрованному ключу безопасности (Chrome Safe Storage).

Также собираются данные из браузеров Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc и Chromium, включая сохранённые пароли, файлы cookie, данные автозаполнения, закладки и локальное хранилище. Кроме того, вредоносная программа похищает данные криптовалютных кошельков, расширений менеджеров паролей, историю команд shell, конфигурацию FileZilla, сведения о системе и публичный IP-адрес. Собранная информация архивируется в ZIP-файл и также передаётся злоумышленникам через Telegram, причём файлы размером более 40 Мбайт автоматически разделяются на части.

Финальным компонентом ClickLock является модифицированная версия открытого инструмента GSocket, обеспечивающая постоянный удалённый доступ к заражённой системе. По словам специалистов Group-IB, обнаружить это ПО сложно из-за использования скомпрометированных легитимных доменов и самоуничтожения большинства модулей после выполнения. Для защиты исследователи рекомендуют не выполнять в терминале команды, происхождение которых неизвестно, а при появлении окна ввода пароля одновременно с зависанием системы принудительно выключить компьютер, удерживая кнопку питания, после чего загрузить macOS в безопасном режиме (Safe Mode).

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
TikTok начала тестировать инструмент для выявления ИИ-дипфейков внешности пользователей 3 ч.
Ошибочка вышла: AWS выставила клиентам счета на миллиарды и триллионы долларов из-за проблем с биллингом 7 ч.
Новая статья: DOOM: The Dark Ages — Revelations. Без откровений. Рецензия 8 ч.
Nebius предложила партнёрам свои ИИ-технологии для развёртывания в сторонних ЦОД 8 ч.
Исследователи обнаружили вирус ClickLock для macOS, ворующий пароли и криптовалюту 9 ч.
На волне успеха: спустя неделю после релиза продажи Assassin’s Creed Black Flag Resynced взяли новую высоту 10 ч.
Американца арестовали по подозрению в краже криптовалюты через запрятанный в игры Steam вирус 11 ч.
Bethesda назвала Starfield «важной частью» своего будущего и намекнула на новое сюжетное дополнение в 2027 году 12 ч.
Открытые китайские ИИ-модели сократили отставание от передовых американских всего до четырёх месяцев 13 ч.
«Яндекс» улучшил поиск АЗС без очередей и оптимизировал построение маршрутов для экономии топлива 13 ч.
На фоне ИИ-бума ASML выдаст всем работникам премии в виде акций на сумму 20 тысяч евро 3 ч.
Meta готовится сдать Anthropic в аренду свой центр обработки данных в Джорджии за $10 млрд 3 ч.
Утечка подтвердила дизайн и характеристики широкого складного смартфона Samsung Galaxy Z Fold8 9 ч.
TSMC похвалилась успехами в разработке 1,4-нм техпроцесса A14 — он развивается быстрее N2 11 ч.
Caviar представила футбольный вариант грядущего Samsung Galaxy Z Fold8 Ultra за 799 000 рублей 11 ч.
Steam Machine с Windows оказалась немного быстрее, чем со SteamOS 13 ч.
Современной памяти не хватает: новые ПК всё чаще получают старые процессоры Intel и AMD 13 ч.
Разработана одежда, которая сама надевается на человека 13 ч.
Гонка за статус самой дорогой компании мира обострилась: Apple догоняет Nvidia и приближается к $5 трлн 13 ч.
Apple расширяет дело против OpenAI: компания заподозрила десятки бывших сотрудников 13 ч.