Mã độc ClickLock nguy hiểm thu thập thông tin xác thực macOS

Mã độc ClickLock nguy hiểm thu thập thông tin xác thực macOS

Một mã độc macOS mới được phát hiện với tên gọi ClickLock đang gây báo động trong cộng đồng an ninh mạng do các kỹ thuật thu thập thông tin xác thực tích cực và lừa đảo của nó. Theo các nhà nghiên cứu tại Group-IB, stealer này sử dụng một chiến thuật gây rối cao, cưỡng chế chấm dứt các ứng dụng đang chạy, khóa người dùng khỏi hệ thống để buộc họ nhập mật khẩu macOS.

Mã độc ClickLock thể hiện một sự thay đổi đáng kể trong hoạt động đe dọa nhắm mục tiêu vào macOS, kết hợp các yếu tố của các mã độc đánh cắp thông tin truyền thống với các chiến lược thao túng người dùng thường thấy trong các chiến dịch mã độc tống tiền và scareware.

Sự thay đổi này phản ánh các xu hướng gần đây, nơi các thiết bị Mac bị nhắm mục tiêu trực tiếp qua web, chẳng hạn như cuộc tấn công Atomic Stealer ClickFix, hoạt động để bỏ qua các cảnh báo bảo mật hệ thống mặc định.

Cơ chế Hoạt động và Khai thác của Mã độc ClickLock

Sau khi được thực thi trên một hệ thống mục tiêu, mã độc ClickLock khởi tạo một loạt hành động được thiết kế rõ ràng để làm mất ổn định môi trường người dùng.

Nó tự động tắt các tiến trình đang hoạt động, bao gồm các công cụ bảo mật và ứng dụng năng suất, khiến hệ thống ở trạng thái gần như không thể sử dụng.

Chiến thuật Đánh lừa Người dùng

Sự gián đoạn cưỡng chế này ngay lập tức được theo sau bởi việc hiển thị một hộp thoại hệ thống giả mạo, bắt chước hoàn hảo các hộp thoại xác thực macOS hợp pháp.

Bởi vì yêu cầu này có vẻ xác thực và được hiển thị trong thời điểm hệ thống mất ổn định cao, người dùng có nhiều khả năng tuân thủ vì mong muốn khôi phục chức năng.

Các thông tin xác thực được nhập sau đó sẽ bị thu giữ và truyền trực tiếp đến cơ sở hạ tầng command-and-control (C2) do kẻ tấn công kiểm soát.

Đặc điểm Kỹ thuật và Phương thức Né tránh

Các nhà nghiên cứu của Group-IB lưu ý rằng mã độc ClickLock tận dụng AppleScript và các tiện ích macOS gốc để thực hiện các hoạt động của nó, cho phép nó hòa nhập vào hoạt động hệ thống hợp pháp và né tránh các cơ chế phát hiện dựa trên chữ ký cơ bản.

Mã độc ClickLock không dựa vào các exploit phức tạp hoặc lỗ hổng zero-day; thay vào đó, nó hoàn toàn khai thác kỹ thuật xã hội và sự tin tưởng của người dùng vào các hộp thoại hệ thống.

Phương pháp sử dụng các tiện ích hệ thống cơ bản để duy trì sự im lặng này phù hợp với các bản cập nhật cài đặt yên tĩnh được thấy trong các làn sóng gần đây của các họ stealer Mac cạnh tranh.

Bạn có thể tham khảo thêm chi tiết về nghiên cứu này tại nguồn: Group-IB Blog.

Dữ liệu bị Thu thập và Khả năng Mở rộng

Ngoài việc thu thập thông tin xác thực, mã độc ClickLock có khả năng thu thập thông tin hệ thống rộng rãi, bao gồm chi tiết thiết bị và dữ liệu môi trường người dùng.

Thông tin này có thể được sử dụng để điều chỉnh các cuộc tấn công mạng tiếp theo hoặc được bán trên các chợ đen tội phạm mạng ngầm.

Bản chất mô-đun của mã độc ClickLock cho thấy tiềm năng mở rộng trong tương lai, bao gồm việc bổ sung các cơ chế đánh cắp dữ liệu tự động hoặc duy trì quyền truy cập nâng cao.

Vector Lây nhiễm và Rủi ro Bảo mật

Mặc dù vector lây nhiễm chính xác cho mã độc ClickLock chưa được xác nhận một cách dứt khoát, các nhà nghiên cứu nghi ngờ mạnh mẽ việc phân phối thông qua các ứng dụng trojan hóa, tải xuống độc hại hoặc các chiến dịch lừa đảo (phishing) có chủ đích.

Khi việc áp dụng macOS tiếp tục mở rộng trong môi trường doanh nghiệp, các tác nhân đe dọa đang ngày càng đầu tư vào phần mềm độc hại dành riêng cho nền tảng để khai thác các khoảng trống nhận thức của người dùng.

Các biện pháp Giảm thiểu và Tăng cường An ninh Mạng

Để giảm thiểu rủi ro bảo mật do mã độc ClickLock và các mối đe dọa tương tự gây ra, các tổ chức được khuyến nghị thực hiện các hướng dẫn hành vi sau:

  • Đào tạo nhận thức người dùng: Thường xuyên huấn luyện người dùng về các dấu hiệu của các chiến dịch lừa đảo và cách xác minh tính hợp lệ của các hộp thoại xác thực hệ thống.
  • Triển khai giải pháp Endpoint Detection and Response (EDR): Sử dụng các công cụ EDR để giám sát hoạt động bất thường trên các thiết bị macOS và phát hiện các nỗ lực thao túng hệ thống.
  • Hạn chế quyền truy cập: Áp dụng nguyên tắc đặc quyền tối thiểu để giảm thiểu tác động nếu một hệ thống bị xâm nhập.
  • Cập nhật phần mềm thường xuyên: Đảm bảo hệ điều hành và tất cả các ứng dụng đều được vá lỗi và cập nhật đầy đủ để khắc phục các lỗ hổng CVE đã biết.
  • Sử dụng xác thực đa yếu tố (MFA): Bắt buộc sử dụng MFA cho tất cả các tài khoản quan trọng để thêm một lớp bảo mật chống lại việc đánh cắp thông tin xác thực.

Tầm quan trọng của An ninh Mạng trên macOS

Sự xuất hiện của mã độc ClickLock nhấn mạnh bối cảnh đe dọa đang phát triển nhanh chóng đối với các hệ thống macOS, cho thấy nền tảng này không còn là mục tiêu ưu tiên thấp đối với tội phạm mạng.

Khi những kẻ tấn công tinh chỉnh chiến thuật của mình bằng cách kết hợp sự gián đoạn cấp hệ thống với việc đánh cắp thông tin xác thực, những người phòng thủ phải thích nghi bằng cách tăng cường cả kiểm soát kỹ thuật và nhận thức của người dùng để duy trì an ninh mạng hiệu quả.