کاربران مک سالهاست این سیستمعامل را بهعنوان یکی از امنترین محیطهای کامپیوتری میشناسند؛ اما یک بدافزار جدید نشان داده که برای نفوذ به سیستم همیشه لازم نیست قفلهای امنیتی شکسته شوند. ClickLock به جای سوءاستفاده از یک آسیبپذیری پیچیده، راه سادهتری را انتخاب کرده است: سیستم را طوری مختل میکند که کاربر تصور کند تنها راه نجات، وارد کردن رمز عبور خودش است.
برخی از کاربران عاشق اپل هنوز هم معتقدند که «مک ویروسی نمیشود!». اما فارغ از این تصور غلط، علاوه بر امکان آلوده شدن با انواع ویروس، کرم و باجافزار، آسیبهایی وجود دارند که شاید از یک ویروس ساده هم برای مک شما خطرناکتر باشند.
بنابر خبری که توسط Digital Trends بر پایه گزارش پژوهشگران امنیتی شرکت Group-IB منتشر شده، بدافزار ClickLock تاکنون دستکم ۱۰۰ سیستم در ۳۳ کشور را آلوده کرده است. این تهدید نخستین بار در خرداد ماه گذشته در پایگاه VirusTotal مشاهده شد، اما در زمان انتشار اولیه، هیچکدام از موتورهای امنیتی این پلتفرم آن را بهعنوان بدافزار شناسایی نکرده بودند.
این بدافزار پس از دریافت رمز ورود، به آن اکتفا نمیکند و سراغ اطلاعات بسیار حساستری مانند رمزهای ذخیرهشده مرورگرها، کیف پولهای رمزارزی، اطلاعات ورود، فایلهای شخصی و حتی امکان کنترل از راه دور سیستم میرود. در واقع ClickLock نمونهای از نسل جدید حملات سایبری است که به جای شکست دادن فناوری، روی فریب دادن انسانها تمرکز میکند.
بدافزاری که به جای سرقت رمز، شما را وادار به تحویل آن میکند
تفاوت اصلی ClickLock با بسیاری از بدافزارهای رایج در روش نفوذ آن است. این تهدید برای ورود به macOS به سراغ آسیبپذیریهای پیچیده یا روشهای موسوم به Zero-Day نمیرود، بلکه از یک تکنیک مهندسی اجتماعی به نام ClickFix استفاده میکند؛ روشی که در آن خود کاربر ناخواسته مسیر آلوده شدن سیستم را باز میکند.
همه چیز با یک «تأیید انسان بودن» جعلی شروع میشود
فرآیند آلودگی معمولاً از یک وبسایت آلوده یا دستکاریشده آغاز میشود. در این روش، صفحهای جعلی به کاربر نمایش داده میشود که ظاهراً برای عبور از بررسی امنیتی یا تأیید انسان بودن، از او میخواهد یک دستور را در Terminal مک اجرا کند.
این روش در سالهای اخیر به یکی از ترفندهای محبوب مهاجمان تبدیل شده است؛ زیرا بسیاری از کاربران تصور میکنند اجرای یک دستور ساده برای رفع مشکل نمایش صفحه یا عبور از یک مرحله امنیتی، اقدامی طبیعی است.
اما در پشت این ظاهر فریبنده، دستور اجراشده وظیفه دانلود و فعالسازی ClickLock را برعهده دارد. بدافزار پس از ورود، تلاش میکند نشانههای فعالیت خود را پنهان کند و شرایطی ایجاد کند که قربانی دیرتر متوجه اتفاق غیرعادی شود.
ClickLock چگونه مک را گروگان میگیرد؟
یکی از خطرناکترین قابلیتهای ClickLock، نمایش یک پنجره ورود رمز عبور کاملاً شبیه macOS است. این پنجره حتی نام واقعی حساب کاربری قربانی را نیز نمایش میدهد تا اعتماد بیشتری ایجاد کند.
اگر کاربر رمز عبور را وارد کند، بدافزار آن را بررسی کرده و سپس اطلاعات ورود را برای مهاجمان ارسال میکند. اما حتی اگر کاربر تصمیم بگیرد رمز را وارد نکند، ClickLock دست از کار نمیکشد.
این بدافزار با ایجاد اختلال در عملکرد سیستم، کاربر را تحت فشار قرار میدهد. ClickLock به صورت مداوم پردازشهای مهم macOS مانند Finder، Dock، Terminal، Activity Monitor، Console، System Settings، Spotlight و حتی مرورگرهای وب را متوقف میکند.
نتیجه، سیستمی است که تقریباً غیرقابل استفاده به نظر میرسد و تنها چیزی که روی صفحه باقی میماند، همان درخواست رمز عبور است. طبق بررسی Group-IB، این چرخه میتواند بیش از ۸۳ ساعت ادامه پیدا کند تا زمانی که کاربر در نهایت تسلیم شود.
رمز عبور فقط شروع حمله است
یکی از اشتباهات رایج کاربران این است که تصور میکنند مهاجمان فقط به دنبال رمز ورود سیستم هستند؛ اما در ClickLock، این رمز بیشتر شبیه کلیدی برای باز کردن درهای بعدی است.

پس از دریافت دسترسی، بدافزار تلاش میکند اطلاعات ذخیرهشده در مرورگرها را استخراج کند. این اطلاعات شامل رمزهای عبور، کوکیها، نشستهای فعال، اطلاعات تکمیل خودکار، تاریخچه مرور و دادههای ذخیرهشده کاربران است.
ClickLock مرورگرهای محبوبی مانند Chrome، Firefox، Brave، Microsoft Edge، Opera، Vivaldi و Arc را هدف قرار میدهد؛ یعنی حتی کاربرانی که از مرورگرهای مختلف استفاده میکنند نیز در معرض خطر قرار دارند.
کاربران رمزارز هدف جذابتری برای ClickLock هستند
بخش دیگری از عملیات ClickLock به سرقت اطلاعات مرتبط با رمزارزها مربوط میشود. این بدافزار به دنبال افزونههای کیف پول مرورگر، فایلهای کیف پول دسکتاپ، اطلاعات رمزگذاریشده کیف پولها و دادههای مرتبط با شبکههای بلاکچینی مختلف میگردد.
همچنین کاربران اکوسیستمهایی مانند Bitcoin، شبکههای سازگار با Ethereum، Solana، TRON، TON و Stacks میتوانند هدف این بخش از حمله باشند.
علاوه بر این، ClickLock اطلاعات دیگری مانند تنظیمات FTP نرمافزار FileZilla، تاریخچه دستورات Shell، مشخصات سختافزاری و نرمافزاری سیستم و آدرس IP عمومی کاربر را نیز جمعآوری میکند و دادههای سرقتشده را در قالب فایلهای فشرده از طریق Telegram Bot API برای مهاجمان ارسال میکند.
یک در پشتی دائمی هم روی مک باقی میماند
ClickLock برای حفظ دسترسی طولانیمدت مهاجمان، تنها به سرقت اطلاعات اولیه بسنده نمیکند. پژوهشگران میگویند این بدافزار نسخهای تغییر یافته از ابزار متنباز GSocket را روی سیستم قربانی نصب میکند.
این ابزار یک مسیر ارتباطی دائمی ایجاد میکند که امکان کنترل از راه دور سیستم آلوده را فراهم میسازد. به عبارت دیگر، حتی پس از پایان مرحله اصلی حمله، مهاجمان میتوانند همچنان ارتباط خود را با دستگاه حفظ کنند.
چگونه از ClickLock و حملات مشابه در امان بمانیم؟
مهمترین راه مقابله با چنین تهدیدهایی، شناخت رفتارهای غیرعادی است. هیچ سرویس معتبر اینترنتی، از جمله Cloudflare، برای تأیید انسان بودن کاربر از او نمیخواهد Terminal را باز کرده و یک دستور را اجرا کند.

اگر یک وبسایت از شما خواست برای ادامه کار، کدی را در Terminal وارد کنید، باید آن را یک نشانه جدی خطر بدانید.
همچنین اگر مک شما ناگهان غیرقابل استفاده شد و پنجرهای مشابه درخواست رمز سیستم دائماً نمایش داده شد، وارد کردن رمز میتواند دقیقاً همان چیزی باشد که مهاجمان انتظار دارند. در چنین شرایطی بهتر است سیستم را خاموش کرده، در حالت Safe Mode اجرا کنید و پیش از وارد کردن هرگونه اطلاعات حساس، وضعیت دستگاه را بررسی کنید.
ClickLock یک نمونه واضح از تغییر مسیر حملات سایبری مدرن است؛ حملاتی که دیگر فقط به دنبال شکستن سیستم نیستند، بلکه تلاش میکنند کاربر را متقاعد کنند خودش قفل امنیتی را باز کند.
