A empresa de cibersegurança Group-IB descobriu um malware que mira computadores da Apple e literalmente trava o sistema até que o usuário forneça sua senha. Chamado de ClickLock, pesquisadores identificaram pelo menos 100 casos desse vírus ao longo de 33 países desde maio deste ano.
Quando esse malware é instalado no sistema, ele começa a desenhar uma operação silenciosa e nefasta. A cada 210 milissegundos, o código malicioso do ClickLock encerra processos de extrema importância do sistema macOS, como o Finder, navegadores, a barra de Dock e até o prompt de comando.
Nossos vídeos em destaque
Em pouco tempo, o computador da vítima fica totalmente travado, inutilizável, como se a máquina estivesse quebrada. A única forma de voltar à normalidade é por meio de uma pequena janela que o sistema mostra, solicitando que aquele usuário digite sua senha. Silenciosamente, o malware testa a senha inserida e se for falsa, o PC continua travado, mas se for verdadeira, tudo volta “ao normal”.
)
Debaixo dos panos, no entanto, o ataque continua. O ClickLock rouba não somente a senha daquele usuário, como também o Keychain, que é uma espécie de cofre com todas as credenciais do dispositivo. A chave criptografada do Google Chrome também é um dos alvos, assim como arquivos e carteiras de criptomoedas.
Além do roubo, o ataque deixa uma backdoor chamada goyim no sistema, disfarçada de um processo legítimo na pasta do iCloud. Esse backdoor é como se fosse uma porta aberta que mantém o cibercriminoso com acesso ao computador, então ele pode retornar ao dispositivo quantas vezes quiser.
Tática do ClickFix
Segundo o Group-IB, esse ClickLock é enquadrado na categoria dos infostealers, ou seja, um software mal-intencionado cuja característica é roubar dados. Os pesquisadores conseguiram decifrar o funcionamento do malware nos PCs da Apple, mas ainda não encontraram a origem.
A hipótese dos especialistas é que a disseminação do malware ocorre através do ClickFix. Nesse método, a vítima entra em um site falso, que aponta algum problema no computador do usuário, como erro no sistema ou na webcam, em casos clássicos. O tom é sempre de extrema urgência.
)
O site falso instrui a vítima a copiar e colar um código que supostamente consertaria o problema. É indicado que esse usuário cole o código no Terminal de comando do sistema. Ao fazer isso, um instalador se abre com uma barra de progresso, mas em segundo plano o malware é instalado.
A Apple até tentou mitigar isso em atualizações recentes do macOS, adicionando um aviso quando o Terminal detecta uma "colagem" suspeita. Todavia, o aviso acompanha um botão de “colar assim mesmo”, que os criminosos convencem a vítima a clicar e o golpe finalmente acontece.
Por falar em golpes, pesquisadores revelaram vulnerabilidades em agentes de IA que podem ser ativadas por instruções ocultas em emails. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.
)
)
)
)
)
)
)