Ce nouveau malware Mac ne vous permettra pas d'utiliser votre ordinateur tant que vous n'aurez pas rendu votre mot de passe

Ce nouveau malware Mac ne vous permettra pas d'utiliser votre ordinateur tant que vous n'aurez pas rendu votre mot de passe

Une souche de malware macOS récemment découverte porte l’ingénierie sociale à un nouveau niveau troublant. Au lieu d'exploiter une vulnérabilité logicielle ou de voler silencieusement des informations en arrière-plan, il refuse simplement de vous laisser utiliser votre Mac jusqu'à ce que vous saisissiez votre mot de passe de connexion.

Surnommé ClickLock, le malware arrête à plusieurs reprises les processus clés de macOS, désactive les notifications, affiche des invites de mot de passe Apple convaincantes et piège efficacement les utilisateurs dans une boucle qui ne se termine que lorsque le mot de passe correct est saisi. Une fois que cela se produit, il ne se contente pas de voler le mot de passe. Il s’attaque aux données du navigateur, aux portefeuilles de crypto-monnaie, aux informations d’identification enregistrées, aux gestionnaires de mots de passe et bien plus encore.

Selon un rapport de BleepingComputer, les chercheurs du Group-IB affirment que le malware a déjà infecté au moins 100 systèmes dans 33 pays depuis mai. Plus inquiétant encore, lors de son premier téléchargement sur VirusTotal en juin, aucun des moteurs de sécurité de la plateforme ne l'a signalé comme malveillant.

ClickLock ne pirate pas votre Mac. Cela vous pirate.

Contrairement à de nombreuses campagnes de malware modernes qui s'appuient sur des exploits Zero Day ou des vulnérabilités d'élévation de privilèges, ClickLock réussit grâce à la pression psychologique. On pense que l’infection commence par une attaque de type ClickFix, où les utilisateurs sont amenés à copier et coller une commande dans le terminal sous prétexte d’effectuer une vérification de « vérification humaine » Cloudflare. Tandis qu’une fausse barre de progression de vérification distrait la victime, le malware télécharge discrètement ses charges utiles en arrière-plan.

Dans le même temps, il désactive les interruptions du clavier, masque le curseur du terminal et supprime les alertes du centre de notifications macOS pendant près de six heures, ce qui rend beaucoup plus difficile pour les victimes de se rendre compte que quelque chose de suspect se produit.

La fonctionnalité la plus inquiétante du malware vient ensuite. Il affiche ce qui semble être une boîte de dialogue de mot de passe macOS légitime avec le vrai nom de compte de l'utilisateur et la marque Apple. Si la victime saisit le bon mot de passe système, ClickLock le valide immédiatement et envoie les informations d'identification aux attaquants via Telegram.

Si l'utilisateur refuse, le malware n'abandonne pas. Au lieu de cela, il installe des mécanismes de persistance qui se réactivent après la prochaine connexion. Une fois déclenché, ClickLock commence à supprimer les processus macOS critiques toutes les 210 millisecondes, notamment le Finder, le Dock, le terminal, le moniteur d'activité, la console, les paramètres système, Spotlight et même les navigateurs Web populaires.

Le résultat est un Mac qui semble presque totalement inutilisable, ne laissant que l'invite de mot de passe visible à l'écran. Selon Group-IB, cette boucle peut durer plus de 83 heures, ou jusqu'à ce que la victime finisse par céder.

Il veut bien plus que votre mot de passe

Le mot de passe de connexion n'est que le début. ClickLock tente également d'inciter les victimes à approuver une véritable invite d'accès au trousseau qui accorde l'autorisation à la clé de stockage sécurisé de Chrome. Cette clé peut ensuite être utilisée pour déchiffrer les mots de passe stockés, les cookies et les informations de remplissage automatique à partir des navigateurs basés sur Chromium.

Le module de vol de données du malware couvre un réseau exceptionnellement large. Il cible les profils de navigateur de Chrome, Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc et Chromium, en récoltant les mots de passe enregistrés, les cookies, les signets, les sessions de navigation, le stockage local et les informations de remplissage automatique.

Les utilisateurs de crypto-monnaie sont confrontés à un risque encore plus grand. ClickLock recherche les extensions de portefeuille de navigateur, les fichiers de portefeuille de bureau, les coffres-forts de portefeuille cryptés et les adresses de portefeuille mises en cache dans les principaux écosystèmes de blockchain, notamment Bitcoin, les chaînes compatibles Ethereum, Solana, TRON, TON et Stacks.

Il collecte également les configurations FTP FileZilla, l'historique du shell, les informations de base du système et les adresses IP publiques avant de tout compresser dans des archives ZIP et de télécharger les données volées via l'API Telegram Bot. Pour garantir que les attaquants conservent un accès à long terme, ClickLock déploie une version modifiée de l'outil open source GSocket, créant une porte dérobée persistante capable de contrôler à distance le Mac infecté. Contrairement aux autres composants du malware, qui se suppriment eux-mêmes après exécution pour minimiser les preuves médico-légales, cette porte dérobée reste active sur le système.

Les techniques furtives ne s'arrêtent pas là. Les chercheurs affirment que le logiciel malveillant est hébergé sur des sites Web compromis mais légitimes, ce qui lui permet d'échapper aux systèmes de sécurité basés sur la réputation. Ses charges utiles se suppriment également après l’exécution, ne laissant que très peu de traces. Malgré cela, Group-IB affirme que les défenseurs peuvent toujours détecter les comportements suspects en surveillant les boîtes de dialogue de mot de passe répétées générées via osascript, l'arrêt continu des processus macOS, l'accès massif aux dossiers de profil du navigateur et les connexions sortantes inhabituelles à Telegram.

Cependant, le plus important à retenir est étonnamment simple. Si un site Web vous demande d'ouvrir Terminal et de coller une commande pour prouver que vous êtes humain, fermez immédiatement la page. Aucun site Web légitime, y compris Cloudflare, ne nécessite un accès au terminal pour une vérification humaine. Et si votre Mac devient soudainement inutilisable alors que vous demandez à plusieurs reprises votre mot de passe système, résistez à l’envie de vous y conformer. Au lieu de cela, forcez l'arrêt à l'aide du bouton d'alimentation, redémarrez en mode sans échec et examinez le système avant de saisir des informations d'identification. Dans le cas de ClickLock, votre mot de passe ne résout pas le problème. C'est exactement ce qu'attendent les attaquants.

Rate this post
Total
0
Shares
Previous Post
Apple augmente les prix des iPhone jusqu'à 11 % au Japon

Apple augmente les prix des iPhone jusqu'à 11 % au Japon

Related Posts