Sicherheitsfunktionen ausgehebelt

Neuer ClickLock Stealer umgeht macOS-Schutz und stiehlt Passwörter

MacOS
Bildquelle: sdx15 / Shutterstock.com

Der neue ClickLock Stealer erbeutet Passwörter sowie Kryptowährungs-Daten auf macOS-Systemen, indem er Sicherheitswarnungen und Systemprozesse blockiert.

Das IT-Sicherheitsunternehmen Group-IB hat eine neue Schadsoftware namens ClickLock Stealer entdeckt, die gezielt auf macOS-Systeme ausgerichtet ist. Die Analysten stießen Anfang Juni 2026 auf die Schadsoftware, deren Aktivität sich mindestens bis Ende Mai 2026 zurückverfolgen lässt. Bislang wurden mindestens 100 Betroffene in 33 Ländern identifiziert, wovon sich mehr als die Hälfte in Europa befindet.

Anzeige

Das Schadprogramm ist darauf ausgelegt, sensible Informationen aus den infizierten Systemen zu entwenden. Dazu gehören Daten aus Webbrowsern, Kryptowährungs-Wallets und entsprechenden Browser-Erweiterungen sowie Erweiterungen von Passwortmanagern. Zudem kann ClickLock Stealer Blockchain-Adressen aus sechs verschiedenen Blockchains auslesen, den macOS-Schlüsselbund (Keychain) angreifen sowie FTP-Zugangsdaten und den Befehlsverlauf der Kommandozeile (Shell History) erfassen. Die gesammelten Daten werden in einer Archivdatei komprimiert und über einen Telegram-Bot an die Angreifer übermittelt.

Infektion über gefälschte Cloudflare-Prüfungen

Die genauen Verteilungswege konnten nicht abschließend geklärt werden, doch die Sicherheitsforscher vermuten den Einsatz von SEO-Sicherheitsmanipulationen (SEO-Poisoning), Beiträgen in sozialen Medien oder kompromittierten Webseiten. Opfer werden dabei auf eine gefälschte Bestätigungsseite geleitet, die als Cloudflare-Sicherheitsprüfung getarnt ist.

Auf dieser präparierten Seite erhalten die Anwender die Anweisung, einen vorgegebenen Bash-Befehl zu kopieren und in das macOS-Terminal einzufügen. Wird dieser Befehl ausgeführt, lädt das System ein zentrales Steuerungsskript herunter. Dieses Skript lädt im Anschluss vier weitere Schadprogramme nach: einen Zugangsdaten-Stealer, einen Kryptowährungs-Stealer, einen Schlüsselbund-Stealer sowie ein Backdoor-Programm. Während die Backdoor dauerhaft auf dem Gerät verbleibt, werden die übrigen Diebstahl-Skripte nach der Datenübertragung wieder vom System gelöscht.

Anzeige

Aggressives Beenden von Prozessen hebelt Schutz aus

Die Schadsoftware benötigt für die Infektion keine technischen Sicherheitslücken oder Rechteausweitungen, da sie direkt vom Benutzer mit dessen eigenen Rechten gestartet wird. Um Zugriff auf geschützte Systembereiche und Passwörter zu erhalten, setzt das Programm auf das gezielte Beenden laufender macOS-Prozesse.

Das Steuerungsskript blendet ein gefälschtes macOS-Passwortfenster ein. Gleichzeitig beendet es alle sichtbaren Programme, sodass nur das Eingabefenster auf dem Bildschirm verbleibt, bis der Nutzer sein Passwort eingibt. Zu den blockierten Systemfunktionen äußerten sich die Forscher von Group-IB:

„Eine Hintergrundschleife beginnt zudem damit, das macOS NotificationCenter kontinuierlich für etwa sechs Stunden zu beenden, wodurch jegliche Gatekeeper- oder Sicherheitswarnungen unterdrückt werden, die das Opfer alarmieren könnten.“

Group-IB

Andere Teile der Schadsoftware beenden zudem aktiv Anwendungen, die das Opfer zur Analyse des Angriffs nutzen könnte. Wenn das Programm den Verschlüsselungsschlüssel von Google Chrome (Chrome Safe Storage Key) aus dem macOS-Schlüsselbund abfragt, wird der Nutzer zur Bestätigung aufgefordert. Auch in diesem Fall beendet die Schadsoftware im Hintergrund sämtliche Prozesse, bis der Zugriff gewährt wird.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.