New ClickLock macOS Stealer Kills Apps Every 210ms Until Victims Type Their Password
Der neue macOS-Infostealer „ClickLock“ zwingt Nutzer zur Preisgabe ihres Passworts, indem er alle 210 Millisekunden Apps beendet. Betroffen sind macOS-Nutzer, die einen bestimmten Befehl im Terminal ausführen. Um sich zu schützen, sollten Nutzer keine unbekannten Befehle ausführen und bei verdächtigen Passwortabfragen vorsichtig sein.
Ein neuer macOS-Infostealer namens „ClickLock“ zwingt Benutzer zur Preisgabe ihres Passworts, indem er alle 210 Millisekunden kritische Anwendungen beendet. Die Malware wird über einen Befehl verbreitet, der in das Terminal eingefügt wird, und installiert persistente LaunchAgents, wenn das Opfer das gefälschte Anmeldefenster abbricht. Dies führt zu einer anhaltenden Störung von Systemprozessen wie Finder, Dock und Spotlight.
macOS-Benutzer, die einen bestimmten, unbekannten Befehl im Terminal ausführen.
Organisationen mit macOS-Endpunkten sind gefährdet, da die Malware Anmeldeinformationen stehlen und die Produktivität durch erzwungene App-Beendigungen erheblich beeinträchtigen kann. Die Persistenzmechanismen stellen sicher, dass die Störung auch nach einem Neustart bestehen bleibt.
Der schlimmste Fall ist der Diebstahl von Benutzeranmeldeinformationen, der zu einem vollständigen Kompromittierung des Benutzerkontos und potenziell zu einem weiteren Zugriff auf Unternehmensressourcen führen kann. Die ständige Störung macht das System unbrauchbar und erzwingt die Eingabe des Passworts.
Schulen Sie Benutzer darin, keine unbekannten Befehle im Terminal auszuführen und bei unerwarteten Passwortabfragen äußerst vorsichtig zu sein. Implementieren Sie Endpoint Detection and Response (EDR)-Lösungen, die ungewöhnliche Terminal-Befehle und die Installation von LaunchAgents überwachen können.
- ▸Überprüfen Sie die Terminal-Protokolle auf ungewöhnliche oder unbekannte Befehlsausführungen, insbesondere solche, die Systemprozesse oder die Installation von LaunchAgents betreffen.
- ▸Überprüfen Sie die Verzeichnisse für LaunchAgents (z.B. ~/Library/LaunchAgents, /Library/LaunchAgents) auf unbekannte oder verdächtige .plist-Dateien.
- ▸Simulieren Sie die Ausführung eines unbekannten Terminal-Befehls in einer Testumgebung und überwachen Sie die Reaktion Ihrer EDR-Lösung und anderer Sicherheitskontrollen.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Execution | T1059.001 Command and Scripting Interpreter: PowerShell | High | Distributed via a command pasted into Terminal |
| Persistence | T1543.001 Create or Modify System Process: Launch Agent | High | ClickLock installs two LaunchAgents, ensuring the disruptive behavior persists upon subsequent logins |
| Credential Access | T1110 Brute Force | Low | repeatedly force-quitting essential applications every 210ms until the victim enters their login password |
| Impact | T1499 Endpoint Denial of Service | High | repeatedly force-quitting essential applications every 210ms |
- Der genaue Mechanismus, wie der Befehl in das Terminal gelangt (z.B. Phishing, Drive-by-Download), ist nicht spezifiziert.
- Die spezifischen Dateinamen oder Hashes der LaunchAgents sind nicht spezifiziert.
- Die genaue Methode, wie die gestohlenen Anmeldeinformationen exfiltriert werden, ist nicht spezifiziert.
- Es wird nicht spezifiziert, ob die Malware andere Daten als Anmeldeinformationen stiehlt.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Unklar
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Sind wir hiervon betroffen — und können wir es detektieren?