این بدافزار مک شما را گروگان گرفته و مجبورتان می‌کند رمز دستگاه را تحویل دهید!

فهرست مطالب

کاربران مک سال‌هاست این سیستم‌عامل را به‌عنوان یکی از امن‌ترین محیط‌های کامپیوتری می‌شناسند؛ اما یک بدافزار جدید نشان داده که برای نفوذ به سیستم همیشه لازم نیست قفل‌های امنیتی شکسته شوند. ClickLock به جای سوءاستفاده از یک آسیب‌پذیری پیچیده، راه ساده‌تری را انتخاب کرده است: سیستم را طوری مختل می‌کند که کاربر تصور کند تنها راه نجات، وارد کردن رمز عبور خودش است.

برخی از کاربران عاشق اپل هنوز هم معتقدند که «مک ویروسی نمی‌شود!». اما فارغ از این تصور غلط، علاوه بر امکان آلوده شدن با انواع ویروس، کرم و باج‌افزار، آسیب‌هایی وجود دارند که شاید از یک ویروس ساده هم برای مک شما خطرناک‌تر باشند.

بنابر خبری که توسط Digital Trends بر پایه گزارش پژوهشگران امنیتی شرکت Group-IB منتشر شده، بدافزار ClickLock تاکنون دست‌کم ۱۰۰ سیستم در ۳۳ کشور را آلوده کرده است. این تهدید نخستین بار در خرداد ماه گذشته در پایگاه VirusTotal مشاهده شد، اما در زمان انتشار اولیه، هیچ‌کدام از موتورهای امنیتی این پلتفرم آن را به‌عنوان بدافزار شناسایی نکرده بودند.

این بدافزار پس از دریافت رمز ورود، به آن اکتفا نمی‌کند و سراغ اطلاعات بسیار حساس‌تری مانند رمزهای ذخیره‌شده مرورگرها، کیف پول‌های رمزارزی، اطلاعات ورود، فایل‌های شخصی و حتی امکان کنترل از راه دور سیستم می‌رود. در واقع ClickLock نمونه‌ای از نسل جدید حملات سایبری است که به جای شکست دادن فناوری، روی فریب دادن انسان‌ها تمرکز می‌کند.

بدافزاری که به جای سرقت رمز، شما را وادار به تحویل آن می‌کند

تفاوت اصلی ClickLock با بسیاری از بدافزارهای رایج در روش نفوذ آن است. این تهدید برای ورود به macOS به سراغ آسیب‌پذیری‌های پیچیده یا روش‌های موسوم به Zero-Day نمی‌رود، بلکه از یک تکنیک مهندسی اجتماعی به نام ClickFix استفاده می‌کند؛ روشی که در آن خود کاربر ناخواسته مسیر آلوده شدن سیستم را باز می‌کند.

همه چیز با یک «تأیید انسان بودن» جعلی شروع می‌شود

فرآیند آلودگی معمولاً از یک وب‌سایت آلوده یا دستکاری‌شده آغاز می‌شود. در این روش، صفحه‌ای جعلی به کاربر نمایش داده می‌شود که ظاهراً برای عبور از بررسی امنیتی یا تأیید انسان بودن، از او می‌خواهد یک دستور را در Terminal مک اجرا کند.

این روش در سال‌های اخیر به یکی از ترفندهای محبوب مهاجمان تبدیل شده است؛ زیرا بسیاری از کاربران تصور می‌کنند اجرای یک دستور ساده برای رفع مشکل نمایش صفحه یا عبور از یک مرحله امنیتی، اقدامی طبیعی است.

اما در پشت این ظاهر فریبنده، دستور اجراشده وظیفه دانلود و فعال‌سازی ClickLock را برعهده دارد. بدافزار پس از ورود، تلاش می‌کند نشانه‌های فعالیت خود را پنهان کند و شرایطی ایجاد کند که قربانی دیرتر متوجه اتفاق غیرعادی شود.

ClickLock چگونه مک را گروگان می‌گیرد؟

یکی از خطرناک‌ترین قابلیت‌های ClickLock، نمایش یک پنجره ورود رمز عبور کاملاً شبیه macOS است. این پنجره حتی نام واقعی حساب کاربری قربانی را نیز نمایش می‌دهد تا اعتماد بیشتری ایجاد کند.

اگر کاربر رمز عبور را وارد کند، بدافزار آن را بررسی کرده و سپس اطلاعات ورود را برای مهاجمان ارسال می‌کند. اما حتی اگر کاربر تصمیم بگیرد رمز را وارد نکند، ClickLock دست از کار نمی‌کشد.

این بدافزار با ایجاد اختلال در عملکرد سیستم، کاربر را تحت فشار قرار می‌دهد. ClickLock به صورت مداوم پردازش‌های مهم macOS مانند Finder، Dock، Terminal، Activity Monitor، Console، System Settings، Spotlight و حتی مرورگرهای وب را متوقف می‌کند.

نتیجه، سیستمی است که تقریباً غیرقابل استفاده به نظر می‌رسد و تنها چیزی که روی صفحه باقی می‌ماند، همان درخواست رمز عبور است. طبق بررسی Group-IB، این چرخه می‌تواند بیش از ۸۳ ساعت ادامه پیدا کند تا زمانی که کاربر در نهایت تسلیم شود.

رمز عبور فقط شروع حمله است

یکی از اشتباهات رایج کاربران این است که تصور می‌کنند مهاجمان فقط به دنبال رمز ورود سیستم هستند؛ اما در ClickLock، این رمز بیشتر شبیه کلیدی برای باز کردن درهای بعدی است.

مراحل عملکرد بدافزار ClickLock
مراحل عملکرد بدافزار ClickLock

پس از دریافت دسترسی، بدافزار تلاش می‌کند اطلاعات ذخیره‌شده در مرورگرها را استخراج کند. این اطلاعات شامل رمزهای عبور، کوکی‌ها، نشست‌های فعال، اطلاعات تکمیل خودکار، تاریخچه مرور و داده‌های ذخیره‌شده کاربران است.

ClickLock مرورگرهای محبوبی مانند Chrome، Firefox، Brave، Microsoft Edge، Opera، Vivaldi و Arc را هدف قرار می‌دهد؛ یعنی حتی کاربرانی که از مرورگرهای مختلف استفاده می‌کنند نیز در معرض خطر قرار دارند.

کاربران رمزارز هدف جذاب‌تری برای ClickLock هستند

بخش دیگری از عملیات ClickLock به سرقت اطلاعات مرتبط با رمزارزها مربوط می‌شود. این بدافزار به دنبال افزونه‌های کیف پول مرورگر، فایل‌های کیف پول دسکتاپ، اطلاعات رمزگذاری‌شده کیف پول‌ها و داده‌های مرتبط با شبکه‌های بلاک‌چینی مختلف می‌گردد.

همچنین کاربران اکوسیستم‌هایی مانند Bitcoin، شبکه‌های سازگار با Ethereum، Solana، TRON، TON و Stacks می‌توانند هدف این بخش از حمله باشند.

علاوه بر این، ClickLock اطلاعات دیگری مانند تنظیمات FTP نرم‌افزار FileZilla، تاریخچه دستورات Shell، مشخصات سخت‌افزاری و نرم‌افزاری سیستم و آدرس IP عمومی کاربر را نیز جمع‌آوری می‌کند و داده‌های سرقت‌شده را در قالب فایل‌های فشرده از طریق Telegram Bot API برای مهاجمان ارسال می‌کند.

یک در پشتی دائمی هم روی مک باقی می‌ماند

ClickLock برای حفظ دسترسی طولانی‌مدت مهاجمان، تنها به سرقت اطلاعات اولیه بسنده نمی‌کند. پژوهشگران می‌گویند این بدافزار نسخه‌ای تغییر یافته از ابزار متن‌باز GSocket را روی سیستم قربانی نصب می‌کند.

این ابزار یک مسیر ارتباطی دائمی ایجاد می‌کند که امکان کنترل از راه دور سیستم آلوده را فراهم می‌سازد. به عبارت دیگر، حتی پس از پایان مرحله اصلی حمله، مهاجمان می‌توانند همچنان ارتباط خود را با دستگاه حفظ کنند.

چگونه از ClickLock و حملات مشابه در امان بمانیم؟

مهم‌ترین راه مقابله با چنین تهدیدهایی، شناخت رفتارهای غیرعادی است. هیچ سرویس معتبر اینترنتی، از جمله Cloudflare، برای تأیید انسان بودن کاربر از او نمی‌خواهد Terminal را باز کرده و یک دستور را اجرا کند.

ClickLock-01.jpg

اگر یک وب‌سایت از شما خواست برای ادامه کار، کدی را در Terminal وارد کنید، باید آن را یک نشانه جدی خطر بدانید.

همچنین اگر مک شما ناگهان غیرقابل استفاده شد و پنجره‌ای مشابه درخواست رمز سیستم دائماً نمایش داده شد، وارد کردن رمز می‌تواند دقیقاً همان چیزی باشد که مهاجمان انتظار دارند. در چنین شرایطی بهتر است سیستم را خاموش کرده، در حالت Safe Mode اجرا کنید و پیش از وارد کردن هرگونه اطلاعات حساس، وضعیت دستگاه را بررسی کنید.

ClickLock یک نمونه واضح از تغییر مسیر حملات سایبری مدرن است؛ حملاتی که دیگر فقط به دنبال شکستن سیستم نیستند، بلکه تلاش می‌کنند کاربر را متقاعد کنند خودش قفل امنیتی را باز کند.

این مقاله را دوست داشتید؟

مقالاتی که «نباید» از دست بدهید!

دیدگاه‌ها و پرسش‌و‌پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *