SecBoard
Zurück zur Übersicht

New ClickLock macOS Stealer Kills Apps Every 210ms Until Victims Type Their Password

The Hacker News·
Originalartikel lesen bei The Hacker News

Der neue macOS-Infostealer „ClickLock“ zwingt Nutzer zur Preisgabe ihres Passworts, indem er alle 210 Millisekunden Apps beendet. Betroffen sind macOS-Nutzer, die einen bestimmten Befehl im Terminal ausführen. Um sich zu schützen, sollten Nutzer keine unbekannten Befehle ausführen und bei verdächtigen Passwortabfragen vorsichtig sein.

Kurzfassung

Ein neuer macOS-Infostealer namens „ClickLock“ zwingt Benutzer zur Preisgabe ihres Passworts, indem er alle 210 Millisekunden kritische Anwendungen beendet. Die Malware wird über einen Befehl verbreitet, der in das Terminal eingefügt wird, und installiert persistente LaunchAgents, wenn das Opfer das gefälschte Anmeldefenster abbricht. Dies führt zu einer anhaltenden Störung von Systemprozessen wie Finder, Dock und Spotlight.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

macOS-Benutzer, die einen bestimmten, unbekannten Befehl im Terminal ausführen.

Warum relevant

Organisationen mit macOS-Endpunkten sind gefährdet, da die Malware Anmeldeinformationen stehlen und die Produktivität durch erzwungene App-Beendigungen erheblich beeinträchtigen kann. Die Persistenzmechanismen stellen sicher, dass die Störung auch nach einem Neustart bestehen bleibt.

Realistisches Worst Case

Der schlimmste Fall ist der Diebstahl von Benutzeranmeldeinformationen, der zu einem vollständigen Kompromittierung des Benutzerkontos und potenziell zu einem weiteren Zugriff auf Unternehmensressourcen führen kann. Die ständige Störung macht das System unbrauchbar und erzwingt die Eingabe des Passworts.

Handlungsempfehlung

Schulen Sie Benutzer darin, keine unbekannten Befehle im Terminal auszuführen und bei unerwarteten Passwortabfragen äußerst vorsichtig zu sein. Implementieren Sie Endpoint Detection and Response (EDR)-Lösungen, die ungewöhnliche Terminal-Befehle und die Installation von LaunchAgents überwachen können.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Terminal-Protokolle auf ungewöhnliche oder unbekannte Befehlsausführungen, insbesondere solche, die Systemprozesse oder die Installation von LaunchAgents betreffen.
  • Überprüfen Sie die Verzeichnisse für LaunchAgents (z.B. ~/Library/LaunchAgents, /Library/LaunchAgents) auf unbekannte oder verdächtige .plist-Dateien.
  • Simulieren Sie die Ausführung eines unbekannten Terminal-Befehls in einer Testumgebung und überwachen Sie die Reaktion Ihrer EDR-Lösung und anderer Sicherheitskontrollen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
ExecutionT1059.001 Command and Scripting Interpreter: PowerShellHighDistributed via a command pasted into Terminal
PersistenceT1543.001 Create or Modify System Process: Launch AgentHighClickLock installs two LaunchAgents, ensuring the disruptive behavior persists upon subsequent logins
Credential AccessT1110 Brute ForceLowrepeatedly force-quitting essential applications every 210ms until the victim enters their login password
ImpactT1499 Endpoint Denial of ServiceHighrepeatedly force-quitting essential applications every 210ms
Offene Punkte
  • Der genaue Mechanismus, wie der Befehl in das Terminal gelangt (z.B. Phishing, Drive-by-Download), ist nicht spezifiziert.
  • Die spezifischen Dateinamen oder Hashes der LaunchAgents sind nicht spezifiziert.
  • Die genaue Methode, wie die gestohlenen Anmeldeinformationen exfiltriert werden, ist nicht spezifiziert.
  • Es wird nicht spezifiziert, ob die Malware andere Daten als Anmeldeinformationen stiehlt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Unklar
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Sind wir hiervon betroffen — und können wir es detektieren?