新型 ClickLock macOS 窃密木马以每 210 毫秒杀死应用程序逼迫受害者输入密码
导语:Group-IB 披露的新型 macOS 信息窃取程序 ClickLock Stealer 采用极端心理胁迫手段,通过每 210 毫秒一次的进程终止循环逼迫受害者在锁死桌面中输入登录密码,目标覆盖 33 国 100 余用户。
ClickLock Stealer 是一种新型 macOS 信息窃取程序,它通过循环终止受害者应用程序的方式来回应其拒绝行为,直至受害者交出登录密码。它以一段需要粘贴到终端的命令形式传播,通过伪造的系统对话框要求输入密码。当受害者取消时,该程序会安装两个 LaunchAgents,然后悄然退出。
在下一次登录时,Finder、Dock、Spotlight、终端、活动监视器以及主流浏览器会每隔 210 毫秒崩溃一次,持续时间最长可达 83 小时,最终只剩下一个密码输入框悬浮在死寂的桌面上。受害者一旦输入密码,机器便会交出 Keychain 中的钥匙串、浏览器凭据以及加密货币钱包。
Group-IB 的遥测数据显示,自 5 月以来已覆盖至少 33 个国家的 100 个目标,其中超过一半位于欧洲。其分析人员根据代码结构推测,该恶意软件仍处于开发阶段。协调器脚本于 6 月 9 日上传至 VirusTotal,Group-IB 分析时该样本在该平台上没有任何引擎检出。
分析人员始终未能找到攻击入口。他们掌握了完整的载荷链,但没有发现任何诱饵页面。IOC 列表包含三个被入侵的载荷托管主机,却没有诱饵域名:落地页设计、提供落地页的域名,以及将流量引导至这些域名的方式均无法确认。
拒绝输入密码的用户并非边缘情况,而是该设计的核心场景。一旦取消第一个对话框,脚本便会在 ~/Library/LaunchAgents/ 下释放 com.authirity.plist 和 com.chromer.plist,然后离开。
第一个文件触发每 210 毫秒一次的终止循环,直至密码被输入。第二个文件则以 0.2 秒的间隔启动自己的终止循环,持续时间最长 3,000,000 秒(约 34.7 天),同时后台进程每半秒查询一次 Keychain 中 Chrome 的 Safe Storage 密钥。
该查询会触发 macOS 的真实授权提示,循环会持续劫持桌面直至受害者批准。活动监视器和终端同时被列入两份终止列表。第三个循环会在六小时内持续终止 NotificationCenter,使得任何 Gatekeeper 警告都无法渲染。如果终端未获得完全磁盘访问权限,协调器会打开系统设置至相应页面,引导受害者完成授权。
前端界面为 ClickFix。Group-IB 以高置信度做出此评估,但从未实际观察到该界面。脚本以 RAY_ID 作为第一个参数,并通过伪造的 Cloudflare CAPTCHA 横幅覆盖在进度条之上,在十秒内循环显示十二行状态信息。这些元素都不具备实际功能,仅用于安抚刚刚将命令粘贴进终端的用户。

在底层,script.sh 会禁用键盘中断、隐藏光标,并从两个被入侵站点拉取四个载荷。其中两个直接通过管道传递给 bash,另两个落地于隐藏目录 $HOME/.cacheb/。软性诱导是一个使用下载的 Apple 图标和受害者真实用户名的 osascript 对话框,无论输入什么都会先通过 dscl /Local/Default -authonly 进行校验,只有可用的密码才值得回传。
几乎所有这些手法都不是新出现的。Microsoft 在 5 月记录了 SHub Stealer 中相同的 dscl 验证机制,同时记录的还有同一波 macOS ClickFix 活动中的 AMOS 和 MacSync。通过 Telegram 进行数据外传以及使用 LaunchAgent 进行持久化也是惯用手法。
后门程序 goyim 大约 80% 是 The Hacker's Choice 开源隧道工具包 GSocket 公开部署脚本的复制版本。其作者将 gs-netcat 组件宣传为无需自身 C2 服务器的加密反向后门,该组件通过中继节点进行通信。Group-IB 将此副本追溯到位于 gsnc[.]eu:67 的运营商中继节点,二进制文件则直接从 gsocket.io 拉取。窃密载荷托管于三个拥有良好信誉的被入侵域名上,其中包括一个被攻陷的 WordPress 站点,数据通过三个 Telegram 机器人外泄。Group-IB 未观察到专用的命令与控制基础设施。
在 macOS 上,该二进制文件以 iCloud 名称落地于 ~/Library/Application Support/iCloudsync,进程名称伪装为 SystemUIServerl,比真实进程名多了一个字母。
macOS 26.4 于三月下旬发布。该系统会在终端检测到可疑粘贴行为时发出警告,并直接阻断其识别的已知恶意软件,Microsoft 将此视为对 ClickFix 投递方式的直接回应。Apple 自身的文档显示其留下了多大空间:该警告仅对不经常使用终端的用户触发,并且附带一个"仍然粘贴"按钮。硬阻断则需要 macOS 事先识别该恶意软件。
在数周之内,两个活动以相反方向利用了这些空间。Jamf Threat Labs 在 4 月记录了一个完全避开粘贴手法的案例——通过 applescript:// URL 打开 Script Editor 并预加载载荷,使得检测根本无法触发。Jamf 的 Thijs Xhaflaire 写道:"当一扇门关上时,攻击者会找到另一扇。"ClickLock 则是另一种方式——它保留了粘贴手法,但转而对用户本身施加心理操控。
胁迫循环是唯一没有任何掩饰的部分。Group-IB 对针对 Finder、Dock、SystemUIServer 和 NotificationCenter 的亚秒级 pkill 与 killall 爆发毫不避讳地评价道:"这种行为是强制交互类恶意软件所独有的,没有任何合法用途。"如果 Mac 开始自动杀死自身应用程序并在屏幕上留下密码输入框,请不要输入密码。没有任何验证页面需要在终端中操作。Cloudflare 的检查本应在浏览器中运行,这正是其设计初衷。
来源信息
来源:The Hacker News
原文链接:https://thehackernews.com/2026/07/new-clicklock-macos-stealer-kills-apps.html
作者:info@thehackernews.com (The Hacker News)

