
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
ClickLock Stealer to nowo opisane złośliwe oprogramowanie dla systemu macOS, które łączy funkcje infostealera z agresywnym wymuszaniem interakcji użytkownika. Zamiast jedynie wyświetlać fałszywy monit o hasło, malware doprowadza system do częściowej bezużyteczności, cyklicznie zamykając kluczowe procesy i aplikacje do momentu, aż ofiara wpisze poprawne hasło logowania.
To rozwinięcie znanych kampanii typu ClickFix, opartych na socjotechnice i nakłanianiu użytkowników do ręcznego uruchamiania poleceń w Terminalu. W tym wariancie presja psychologiczna została połączona z techniczną destabilizacją środowiska pracy.
W skrócie
Atak rozpoczyna się od nakłonienia użytkownika do wklejenia komendy do Terminala pod pretekstem wykonania rzekomej procedury bezpieczeństwa, naprawy lub weryfikacji. Po uruchomieniu skrypt pobiera kolejne komponenty, wyświetla fałszywe okno systemowe z prośbą o hasło i lokalnie sprawdza, czy wprowadzone dane są poprawne.
- malware jest uruchamiane ręcznie przez ofiarę po wykonaniu polecenia w Terminalu,
- fałszywy monit o hasło imituje legalny komunikat macOS,
- w przypadku odmowy aktywowane są mechanizmy trwałości,
- po ponownym logowaniu złośliwe oprogramowanie zaczyna cyklicznie zamykać kluczowe aplikacje,
- celem ataku jest kradzież hasła systemowego, danych z Keychain, przeglądarek i portfeli kryptowalutowych.
Kontekst / historia
Kampanie ClickFix od dłuższego czasu są istotnym trendem w krajobrazie zagrożeń. Ich wspólną cechą jest podszywanie się pod legalne komunikaty techniczne, alerty bezpieczeństwa, CAPTCHA lub instrukcje serwisowe, a następnie skłanianie ofiary do samodzielnego uruchomienia złośliwego kodu.
ClickLock Stealer wpisuje się w ten schemat, ale rozszerza go o bezpośredni mechanizm przymusu operacyjnego. Z dostępnych analiz wynika, że kampania była aktywna co najmniej od maja 2026 roku, a badacze wskazali również na stopniowy rozwój kodu oraz wykorzystanie przejętych stron internetowych i botów Telegram do eksfiltracji danych.
Analiza techniczna
Łańcuch infekcji rozpoczyna się od socjotechniki. Użytkownik otrzymuje polecenie skopiowania i uruchomienia komendy w Terminalu. Następnie skrypt prezentuje elementy imitujące legalny proces, takie jak fałszywy baner CAPTCHA czy pasek postępu, aby zwiększyć wiarygodność operacji.
Po uruchomieniu główny skrypt pobiera dodatkowe moduły. Część z nich wykonywana jest bezpośrednio w powłoce, a część zapisywana lokalnie w ukrytych katalogach. Kolejnym etapem jest wyświetlenie fałszywego monitu o hasło z użyciem osascript, stylizowanego na komunikat systemowy.
Kluczową cechą ClickLock jest lokalna weryfikacja hasła. Skrypt wykorzystuje mechanizm dscl /Local/Default -authonly, aby sprawdzić, czy wpisane dane logowania są poprawne. Dzięki temu atakujący nie otrzymuje przypadkowego ciągu znaków, lecz od razu zweryfikowane hasło do konta użytkownika.
Jeżeli ofiara anuluje monit, malware przechodzi do etapu trwałości. Tworzone są wpisy LaunchAgent w katalogu użytkownika, które zapewniają automatyczne uruchomienie po ponownym zalogowaniu. Następnie aktywowane są szybkie pętle pkill i killall, które co ułamek sekundy zamykają procesy odpowiedzialne za podstawową używalność systemu.
Atakowane są między innymi Finder, Dock, Spotlight, Terminal, Activity Monitor, NotificationCenter oraz popularne przeglądarki. Takie działanie jednocześnie utrudnia normalną pracę, ogranicza możliwość reakcji na incydent i może zmniejszać widoczność komunikatów bezpieczeństwa.
W analizach wskazano również komponent backdoor, częściowo oparty na publicznie dostępnym narzędziu tunelującym. Pozwala to operatorom zestawić kanał zdalnego dostępu bez konieczności utrzymywania rozbudowanej infrastruktury sterującej.
Z perspektywy kradzieży danych najbardziej wartościowe są:
- hasło logowania do macOS,
- zawartość Keychain,
- klucz Chrome Safe Storage,
- zapisane hasła i cookies przeglądarek,
- dane rozszerzeń portfeli kryptowalutowych,
- lokalne pliki portfeli,
- dane menedżerów haseł,
- historia powłoki,
- poświadczenia klientów takich jak FileZilla.
Konsekwencje / ryzyko
Ryzyko związane z ClickLock Stealer wykracza poza jednorazową kradzież poświadczeń. Atak może prowadzić do kompromitacji lokalnego konta systemowego, przejęcia sesji przeglądarkowych, dostępu do danych finansowych i utrzymania trwałej obecności na urządzeniu.
- przejęcie poprawnego hasła logowania do macOS,
- kradzież zapisanych haseł z przeglądarek,
- przejęcie aktywnych sesji dzięki plikom cookies,
- eksfiltracja danych z portfeli kryptowalutowych,
- utrzymanie dostępu przez dodatkowy moduł backdoor,
- utrudnienie reakcji na incydent przez destabilizację środowiska użytkownika.
W środowiskach firmowych skutki mogą być znacznie szersze. Przejęcie jednego urządzenia może otworzyć drogę do wtórnych incydentów obejmujących usługi SaaS, pocztę, dostęp VPN, systemy deweloperskie i obszary finansowe organizacji.
Rekomendacje
Najważniejszą zasadą jest traktowanie wszelkich instrukcji nakazujących uruchomienie komendy w Terminalu jako zdarzeń wysokiego ryzyka. Legalne procesy weryfikacyjne usług internetowych nie wymagają od użytkownika końcowego ręcznego wykonywania poleceń powłoki.
- szkolić użytkowników z technik ClickFix i fałszywych procedur naprawczych,
- monitorować tworzenie plików w katalogu LaunchAgents użytkownika,
- wykrywać nietypowe użycie osascript do wywoływania monitów o hasło,
- alarmować na łączenie narzędzi takich jak curl bezpośrednio z interpreterem powłoki,
- monitorować dostęp do profili przeglądarek i Keychain z nietypowych procesów,
- ograniczać możliwość uruchamiania nieautoryzowanych skryptów,
- stosować rozwiązania EDR z telemetrią procesów i anomalii w macOS,
- egzekwować zasadę minimalnych uprawnień.
Jeżeli istnieje podejrzenie uruchomienia ClickLock Stealer, nie należy wpisywać hasła do wyświetlanego okna. Bezpieczniejszym działaniem jest odizolowanie hosta, wymuszone wyłączenie urządzenia, uruchomienie systemu w trybie awaryjnym oraz analiza artefaktów trwałości i podejrzanych procesów.
Po incydencie należy założyć, że kompromitacji mogły ulec wszystkie zapisane hasła w przeglądarkach, aktywne sesje, dane portfeli, menedżery haseł oraz lokalne poświadczenia systemowe. W praktyce oznacza to konieczność rotacji haseł, unieważnienia sesji i w wielu przypadkach pełnej odbudowy zaufania do urządzenia.
Podsumowanie
ClickLock Stealer pokazuje, że zagrożenia dla macOS coraz częściej łączą klasyczną kradzież danych z mechanizmami wymuszania zachowania użytkownika. To już nie tylko malware działający w tle, lecz narzędzie zaprojektowane tak, aby złamać opór ofiary i doprowadzić do ujawnienia poprawnego hasła systemowego.
Z punktu widzenia obrony szczególnie istotne są detekcja zachowań skryptowych, monitoring mechanizmów trwałości w macOS oraz intensywna edukacja użytkowników wobec kampanii opartych na socjotechnice. ClickLock jest przykładem, że nawet pojedyncze uruchomienie pozornie niewinnej komendy może zakończyć się pełną kompromitacją stacji roboczej.
Źródła
- The Hacker News — New ClickLock macOS Stealer Kills Apps Every 210ms Until Victims Type Their Password — https://thehackernews.com/2026/07/new-clicklock-macos-stealer-kills-apps.html
- Apple Support — Start up your Mac in safe mode — https://support.apple.com/en-gb/guide/mac-help/-mh21245/mac
- Apple Support — Mac startup key combinations — https://support.apple.com/en-us/102603
- Jamf Threat Labs — ClickFix Malware Uses macOS Script Editor to Deliver Atomic Stealer — https://www.jamf.com/blog/clickfix-macos-script-editor-atomic-stealer/
- Broadcom Security Center — macOS infostealer delivery campaign leverages ClickFix techniques — https://www.broadcom.com/support/security-center/protection-bulletin/macos-infostealer-delivery-campaign-leverages-clickfix-techniques