• 4 min de lectura
El malware ClickLock congela Macs para robar contraseñas
Un nuevo malware para macOS denominado ClickLock cierra aplicaciones visibles y obliga a las víctimas a permanecer en cuadros de solicitud de contraseña. Group-IB afirma que al menos 100 sistemas en 3

Imagen: BleepingComputer
Un infostealer para macOS recién identificado llamado ClickLock se basa en una táctica simple: dejar un Mac inutilizable hasta que la víctima escriba su contraseña de inicio de sesión del sistema. Según Group-IB, el malware ha infectado al menos 100 sistemas en 33 países desde mayo.
Los investigadores encontraron el script de shell de ClickLock en VirusTotal, donde fue enviado por primera vez el 9 de junio. En el momento del informe seguía sin ser detectado por todos los proveedores de seguridad en la plataforma.
El ataque probablemente comienza con un cebo al estilo ClickFix. Las víctimas son engañadas para que peguen un comando malicioso en Terminal, que luego lanza una secuencia falsa de “verificación humana” de Cloudflare con una barra de progreso animada. Mientras eso se ejecuta, el malware deshabilita las interrupciones del teclado, oculta el cursor del Terminal, descarga sus cargas útiles en segundo plano y suprime NotificationCenter durante unas seis horas.
Cómo ClickLock obliga a introducir la contraseña
Group-IB dice que ClickLock no utiliza exploits ni privilegios elevados. En su lugar, se basa en ingeniería social y coerción repetida.
El script primero muestra un cuadro de diálogo de contraseña falso de macOS usando el nombre de usuario real de la víctima y un icono de Apple descargado. Si la víctima introduce la contraseña, el malware la verifica y se la envía al atacante a través de Telegram.

Recomendado
Vulnerabilidad de FortiSandbox entra en el KEV de CISA mientras se propagan los ataques
Si se cancela el aviso, ClickLock instala persistencia mediante dos LaunchAgents — com.authirity.plist y com.chromer.plist — e intenta de nuevo tras el siguiente inicio de sesión. Un módulo ejecuta entonces un bucle de terminación cada 210 milisegundos, finalizando aplicaciones como Finder, Dock, Terminal, Activity Monitor, Console, System Settings, Spotlight y navegadores web, dejando visible únicamente el cuadro de contraseña. Group-IB afirma que este bucle puede continuar durante 300.000 segundos, es decir, alrededor de 83 horas, a menos que la víctima introduzca la contraseña correcta.
Un segundo LaunchAgent utiliza otro aviso: una solicitud legítima de autorización del Llavero (Keychain) para acceder a la clave Safe Storage de Chrome. Esa clave podría usarse para descifrar contraseñas, cookies y datos de autocompletado almacenados localmente por Chromium. Este bucle se ejecuta cada 200 milisegundos y está configurado para durar 3 millones de segundos, casi 35 días.
Robo de datos y persistencia
El módulo de recopilación de ClickLock apunta a una amplia gama de datos, incluyendo:
- Datos de ocho navegadores: Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc y Chromium
- Inicios de sesión guardados, cookies, datos de autocompletado, marcadores, almacenamiento local y almacenamiento de sesión
- Extensiones de monederos cripto y archivos de monederos de escritorio
- Material cifrado de bóvedas de monedero para ataques de descifrado fuera de línea
- Datos de extensiones de gestores de contraseñas
- Direcciones de criptomonedas en caché en EVM, Bitcoin, Solana, TRON, TON y Stacks
- Historiales de shell
- Configuración de FileZilla y datos de servidores recientes
- Información básica del sistema y la dirección IP pública
El malware comprime los datos robados y un registro resumen en un archivo ZIP y lo sube a través de la Telegram Bot API. Los archivos mayores de 40 MB se dividen en partes más pequeñas, y el proceso de carga incluye lógica de reintentos.
El componente final es una versión modificada de la herramienta de código abierto GSocket, usada como una puerta trasera persistente. Mantiene el acceso mediante un LaunchAgent, entradas de crontab y cambios en archivos de configuración del shell, y luego se conecta a través de un relé de GSocket para proporcionar al atacante una reverse shell. Group-IB dice que este es el único componente de ClickLock que permanece en los sistemas infectados tras la ejecución.
Group-IB advierte que el malware deja a los defensores una ventana de detección estrecha porque sus cargas útiles se alojan en dominios legítimos comprometidos, sus módulos se autodestruyen y el script no está marcado en VirusTotal. Aun así, los investigadores dicen que los defensores pueden buscar osascript que lance cuadros de contraseña, terminaciones repetidas de procesos, accesos masivos a directorios de perfil del navegador y conexiones salientes a la API de Telegram.
“Cualquier página que te indique abrir Terminal, independientemente de lo profesional que parezca, está intentando comprometer tu sistema.”
Para los usuarios, el consejo es contundente: no pegues comandos en Terminal que no entiendas por completo. Si un Mac de repente se vuelve inestable y pide la contraseña de inicio de sesión, Group-IB recomienda mantener pulsado el botón de encendido para forzar el apagado y luego arrancar en Modo seguro.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía BleepingComputer


