Ad
Инциденты

ClickLock запирает Mac и выманивает пароль

Маша Даровская
By Маша Даровская , IT-редактор и автор
ClickLock запирает Mac и выманивает пароль
Обложка © Anonhaven

Исследователи обнаружили новый похититель данных ClickLock Stealer, атакующий пользователей macOS через поддельную проверку Cloudflare. Жертве предлагают скопировать команду с сайта, открыть Терминал и запустить её вручную. После этого вредонос крадёт пароль от Mac, данные браузеров, криптокошельки и содержимое менеджеров паролей, а затем устанавливает скрытый канал удалённого доступа.

ClickLock не использует неизвестные уязвимости и не повышает права самостоятельно. Защиту macOS обходят через действия владельца компьютера: пользователь сам запускает команду, вводит системный пароль и предоставляет Терминалу доступ к защищённым данным.

Отказ вводить пароль не останавливает атаку. Вредонос каждые доли секунды закрывает Finder, Dock, браузеры, Терминал, «Мониторинг системы» и другие приложения. На экране остаётся только поддельное системное окно. Компьютер фактически превращается в заложника, пока человек не выполнит требование злоумышленников.

Первые признаки активности ClickLock относятся к маю 2026 года. Образец основного командного файла загрузили в VirusTotal 9 июня. На момент анализа ни один из подключённых к сервису антивирусных движков не распознавал его как вредоносный.

Телеметрия показывает не менее 100 целей в 33 странах. Более половины выявленных пользователей находились в Европе. Следом идут Северная Америка, Ближний Восток и Африка. Основной интерес злоумышленников связан с криптовалютой, но набор похищаемых данных позволяет атаковать любого владельца Mac с ценными учётными записями.

Авторы вредоноса пока не установлены. Структура сценариев и оставшиеся в коде элементы указывают, что ClickLock ещё дорабатывается. Это не помешало операторам начать полноценную кампанию и развернуть инфраструктуру для приёма украденной информации.

Точная схема привлечения пользователей пока не подтверждена. Среди вероятных каналов — поддельные результаты поиска, публикации в социальных сетях, фишинговые сообщения и взломанные сайты.

Посетитель попадает на страницу, стилизованную под проверку Cloudflare. Вместо обычного действия в браузере ему предлагают скопировать команду и вставить её в Терминал macOS. Такая техника получила название ClickFix: человек уверен, что устраняет ошибку или подтверждает, что он не робот, но фактически самостоятельно запускает вредоносный сценарий.

Microsoft с февраля 2026 года отслеживает несколько похожих кампаний против пользователей Mac. Преступники рекламируют фиктивные программы для очистки диска, исправления ошибок и работы с популярными сервисами, после чего предлагают выполнить команду через Терминал. В других случаях жертв приводили через рекламные результаты поиска и опубликованные в интернете чаты с ИИ-сервисами.

Сценарий ClickLock показывает в Терминале анимированную полосу загрузки с сообщениями о проверке браузера и сборе технических параметров. Эти элементы не выполняют полезной функции. Они отвлекают человека, пока в систему загружаются основные модули.

Gatekeeper проверяет приложения, плагины и установочные пакеты, загруженные не из App Store. Система обращает внимание на подпись разработчика, заверение Apple и отсутствие изменений в проверенном программном обеспечении.

ClickLock не доставляет пользователю обычное приложение, которое нужно открыть двойным нажатием. Жертва запускает shell-команду в Терминале, а часть компонентов передаётся напрямую интерпретатору Bash без сохранения в виде отдельного приложения.

Защитный механизм macOS формально не ломается. Атакующие выбирают путь, при котором доверенный системный инструмент выполняет команду, инициированную самим пользователем. Поведение напоминает ситуацию, когда владелец добровольно открывает дверь, считая посетителя сотрудником технической поддержки.

После запуска команда получает основной сценарий-координатор. Он отключает сочетание клавиш для прерывания операции, скрывает курсор Терминала и загружает четыре отдельных компонента.

Первый модуль выманивает пароль локальной учётной записи macOS. Второй получает ключ шифрования Chrome из системной «Связки ключей». Третий собирает данные браузеров, менеджеров паролей и криптовалютных кошельков. Четвёртый устанавливает постоянный скрытый доступ к компьютеру.

Два сценария сохраняются в каталоге:

~/.cacheb/

Для автоматического запуска после повторного входа в систему создаются элементы LaunchAgent:

~/Library/LaunchAgents/com.authirity.plist

~/Library/LaunchAgents/com.chromer.plist

LaunchAgent — штатный механизм macOS, позволяющий запускать программу в пользовательском сеансе. ClickLock использует его для возобновления атаки после выхода из учётной записи или перезагрузки.

Основной сценарий создаёт через osascript окно, визуально похожее на системный запрос macOS. В него добавляются настоящее имя пользователя и загруженный значок Apple.

Введённый пароль не отправляется злоумышленникам сразу. Сначала сценарий проверяет его через локальную службу каталогов macOS. Неверная комбинация вызывает сообщение об ошибке, после чего окно появляется заново. Такой подход гарантирует, что операторы получат рабочий пароль, а не случайный набор символов.

Правильный пароль сохраняется в открытом виде и в дополнительных представлениях, после чего отправляется через Telegram-бота вместе с версией macOS, характеристиками процессора, объёмом оперативной памяти, размером диска и внешним IP-адресом.

Если пользователь закрывает запрос, вредонос устанавливает механизмы автозапуска. После следующего входа модуль снова открывает окно и начинает принудительно завершать остальные приложения.

Модуль кражи пароля каждые 210 миллисекунд завершает Finder, Dock, Терминал, «Мониторинг системы», консоль, системные настройки, Spotlight, центр уведомлений и основные браузеры.

Пользователь не может открыть приложение для анализа процессов или нормально перейти к настройкам. Единственным активным элементом остаётся поддельное окно ввода пароля. Максимальное время работы такого цикла в исследованном образце составляет около 83 часов.

Отдельный цикл примерно шесть часов подряд закрывает процесс NotificationCenter. Центр уведомлений не успевает показать предупреждения Gatekeeper и других защитных компонентов.

Подобное поведение не является полноценной блокировкой диска, как у классических программ-вымогателей. Файлы не шифруются, а операционная система продолжает работать. Пользовательский интерфейс при этом становится практически недоступным из-за постоянного завершения процессов.

ClickLock проверяет, может ли Терминал читать защищённые каталоги macOS. При отсутствии разрешения открывается раздел системных настроек «Полный доступ к диску», а пользователю показывают инструкцию по добавлению Terminal.app.

Так атакующие пытаются преодолеть систему TCC — механизм управления доступом приложений к личным данным, камере, микрофону, сообщениям и другим защищённым ресурсам.

Вредонос не получает это разрешение незаметно. Его должен предоставить сам владелец Mac. Социальная инженерия превращает обязательное подтверждение безопасности в очередной этап фиктивной проверки.

Сборщик информации проверяет восемь браузеров: Chrome, Brave, Edge, Opera, Vivaldi, Arc, Chromium и Firefox. Он копирует базы с паролями, файлами cookie, историей заполнения форм, закладками, локальным хранилищем сайтов и активными сеансами.

Отдельный поиск охватывает 31 расширение криптокошельков, семь расширений менеджеров паролей и восемь настольных приложений для работы с криптовалютой. Среди целей присутствуют MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Exodus, Tonkeeper, Bitwarden, LastPass, 1Password, NordPass, Keeper и Dashlane.

ClickLock извлекает адреса кошельков шести блокчейн-сетей: EVM-совместимых сетей, Bitcoin, Solana, TRON, TON и Stacks. Адреса часто хранятся в открытом виде для отображения в интерфейсе, поэтому расшифровывать хранилище для их получения не требуется.

Также собираются история команд Bash и Zsh, конфигурации FileZilla, данные настольных кошельков и зашифрованные хранилища расширений. Последние можно попытаться подобрать офлайн после получения пароля пользователя.

Найденная информация помещается в архив и отправляется через Telegram Bot API. Файлы размером более 40 Мбайт разбиваются на части, а механизм передачи повторяет попытки при проблемах с сетью.

Для размещения компонентов использовались три ранее скомпрометированных сайта на WordPress. Выделенной управляющей инфраструктуры для основной части кампании исследователи не обнаружили: похищенные данные направлялись в Telegram и на взломанные веб-ресурсы.

Большинство сценариев удаляет себя после выполнения. Они также меняют временные метки файлов, копируя дату изменения из стандартного каталога Movies. Такая операция усложняет построение точной хронологии заражения.

Последний компонент основан на открытом проекте GSocket. Около 80% кода установщика совпадает с общедоступным сценарием или содержит небольшие изменения.

На macOS вредонос размещает исполняемый файл в каталоге поддержки приложений, маскирует его под компонент iCloud и создаёт обратную командную оболочку. Оператор получает возможность подключаться к компьютеру позднее и выполнять команды удалённо.

Для закрепления используются LaunchAgent, задания crontab и изменения файлов настройки командной оболочки. Секрет подключения отправляется оператору сразу по нескольким каналам, включая Telegram, DNS и веб-запрос.

Этот компонент не удаляет себя после кражи данных. Даже когда рабочий стол возвращается в нормальное состояние, доступ злоумышленника к Mac может сохраниться.

ClickFix долгое время ассоциировался преимущественно с Windows. Страница предлагала нажать Win + R, вставить команду и выполнить её якобы для завершения CAPTCHA или исправления ошибки.

К концу 2025 года операторы таких кампаний начали активнее переносить схему на macOS. Microsoft фиксировала вредоносы MacSync, DigitStealer и Atomic macOS Stealer, которые распространялись через поддельные команды для Терминала и фиктивные установщики.

Весной 2026 года появились варианты, маскировавшиеся под программы очистки Mac, исправления ошибок и страницы популярных ИИ-сервисов. Некоторые кампании уже обходили предупреждение Терминала через ссылку applescript://, которая открывала готовый сценарий в «Редакторе скриптов».

ClickLock развивает идею дальше. Пользователя принуждают продолжить заражение через постоянное закрытие приложений и блокирование доступа к инструментам диагностики.

Обычного поиска по сигнатуре может оказаться недостаточно. Исследованный образец не определялся антивирусными движками в момент обнаружения, а большая часть файлов удаляется после успешной отправки данных.

Более надёжные признаки связаны с поведением системы:

  • osascript создаёт неожиданные окна ввода пароля;

  • команды pkill или killall массово завершают Finder, Dock и NotificationCenter;

  • shell-сценарий обращается к Chrome Safe Storage через команду security find-generic-password;

  • создаются неизвестные файлы в ~/Library/LaunchAgents/;

  • появляется скрытый каталог ~/.cacheb/;

  • после массового чтения профилей браузеров начинается соединение с Telegram API;

  • удалённый сценарий передаётся напрямую в Bash через конструкцию curl | bash.

Комбинация нескольких таких событий требует немедленной изоляции компьютера.

Вопросы и ответы

Что такое ClickLock Stealer?

ClickLock — модульный похититель данных для macOS. Он собирает пароли, файлы cookie, содержимое криптокошельков, данные менеджеров паролей и устанавливает постоянный канал удалённого доступа.

Использует ли ClickLock уязвимость macOS?

Известные образцы не эксплуатируют программную уязвимость. Заражение происходит после того, как пользователь самостоятельно вставляет команду в Терминал и запускает её.

Почему Gatekeeper не блокирует атаку?

Основная нагрузка выполняется через shell-сценарии и штатный Терминал, а часть кода передаётся напрямую Bash. Типичная проверка загруженного приложения в такой цепочке может не запускаться.

Что произойдёт, если не вводить пароль?

Вредонос начнёт многократно закрывать Finder, Dock, браузеры, Терминал, системные настройки и инструменты анализа. На экране останется окно ввода пароля. После перезагрузки атака может возобновиться через LaunchAgent.

Какие данные крадёт ClickLock?

Целями являются восемь браузеров, десятки криптовалютных расширений, менеджеры паролей, настольные кошельки, macOS Keychain, история shell-команд и настройки FileZilla.

Сколько пользователей столкнулось с атакой?

Исследователи выявили не менее 100 целей в 33 странах. Более половины находились в Европе. Кампания активна как минимум с мая 2026 года.

Как проверить Mac на следы заражения?

Нужно проверить каталог ~/.cacheb/, неизвестные элементы в ~/Library/LaunchAgents/, задания crontab, изменения файлов настройки shell и подозрительные процессы, маскирующиеся под iCloud или системные службы.

Достаточно ли удалить подозрительный сценарий?

Нет. ClickLock устанавливает отдельный GSocket-бэкдор с несколькими механизмами автозапуска. Заражённый компьютер нуждается в полноценном расследовании и очистке, а все сохранённые учётные данные следует считать раскрытыми.

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.