📑 Daftar Isi

Ilustrasi serangan malware ClickLock pada layar Mac yang menampilkan prompt password palsu

Malware ClickLock Serang Mac, Sandera Perangkat hingga Tikam Data Pribadi

Penulis:Nur Hamzah
Terbit:
Diperbarui:
⏱️3 menit membaca
Bagikan:
  • Malware ClickLock menyandera perangkat Mac dengan menampilkan dialog password palsu
  • Menginfeksi setidaknya 100 sistem di 33 negara sejak Mei
  • Tidak terdeteksi oleh VirusTotal saat pertama diunggah pada Juni
  • Mematikan proses macOS kritis setiap 210 milidetik jika korban menolak
  • Mencuri password login, data browser, dompet kripto, dan informasi sensitif lainnya
  • Mengirimkan kredensial ke penyerang melalui Telegram setelah divalidasi
  • Menggunakan teknik social engineering dengan serangan ClickFix
  • Backdoor persisten tetap aktif di sistem untuk akses jangka panjang

Telset.id – Sebuah ancaman siber baru bernama ClickLock menargetkan pengguna Mac dengan pendekatan yang tidak biasa. Alih-alih menyusup diam-diam, malware ini justru menyandera perangkat dan memaksa korban memasukkan password login.

Peneliti keamanan dari Group-IB melaporkan bahwa malware ini telah menginfeksi setidaknya 100 sistem di 33 negara sejak Mei. ClickLock tidak mengeksploitasi celah keamanan teknis, melainkan menggunakan tekanan psikologis untuk menjebak korbannya.

Cara kerja ClickLock dimulai dari serangan ClickFix. Pengguna dikelabui untuk menyalin dan menempelkan perintah ke Terminal dengan dalih menyelesaikan verifikasi Cloudflare. Saat korban teralihkan oleh progress bar palsu, malware diam-diam mengunduh payload di latar belakang.

Yang membuatnya berbahaya, saat pertama diunggah ke VirusTotal pada Juni, tidak ada satu pun mesin keamanan yang mendeteksinya sebagai malware. Ini menunjukkan bahwa ClickLock mampu lolos dari deteksi awal dengan sangat efektif.

Teknik Sandera yang Kejam

Fitur paling mengganggu dari malware ini adalah kemampuannya menampilkan dialog password macOS yang tampak asli. Layar tersebut menampilkan nama akun asli korban dan merek Apple. Jika korban memasukkan password yang benar, ClickLock langsung memvalidasi dan mengirimkan kredensial tersebut ke penyerang melalui Telegram.

Jika korban menolak, malware tidak menyerah. ClickLock menginstal mekanisme persistensi yang akan aktif kembali setelah login berikutnya. Begitu terpicu, malware mulai mematikan proses macOS kritis setiap 210 milidetik, termasuk Finder, Dock, Terminal, Activity Monitor, Console, System Settings, Spotlight, dan browser web populer.

Hasilnya adalah Mac yang hampir tidak bisa digunakan sama sekali. Hanya prompt password yang tersisa di layar. Menurut Group-IB, siklus ini bisa berlangsung lebih dari 83 jam, atau sampai korban akhirnya menyerah.

Representative Image

Selain menyandera perangkat, ClickLock juga menonaktifkan keyboard interrupt, menyembunyikan kursor Terminal, dan menekan notifikasi Notification Center macOS selama hampir enam jam. Ini membuat korban semakin sulit menyadari ada yang tidak beres.

Lebih dari Sekadar Password

Password login hanyalah awal. ClickLock juga berusaha menipu korban untuk menyetujui permintaan akses Keychain yang sah untuk mendapatkan kunci Safe Storage Chrome. Kunci ini nantinya bisa digunakan untuk mendekripsi password tersimpan, cookie, dan informasi autofill dari browser berbasis Chromium.

Modul pencuri data malware ini menjaring informasi yang sangat luas. Ia menargetkan profil browser dari Chrome, Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc, dan Chromium. Data yang dicuri meliputi password tersimpan, cookie, bookmark, sesi browsing, penyimpanan lokal, dan informasi autofill.

Pengguna cryptocurrency menghadapi risiko yang lebih besar. ClickLock mencari ekstensi dompet browser, file dompet desktop, vault dompet terenkripsi, dan alamat dompet yang di-cache di berbagai ekosistem blockchain termasuk Bitcoin, rantai kompatibel Ethereum, Solana, TRON, TON, dan Stacks.

Representative Image

Malware ini juga mengumpulkan konfigurasi FTP FileZilla, riwayat shell, informasi sistem dasar, dan alamat IP publik. Semua data dikompresi menjadi arsip ZIP dan diunggah melalui Telegram Bot API.

Untuk mempertahankan akses jangka panjang, ClickLock menggunakan versi modifikasi dari alat open-source GSocket. Ini menciptakan backdoor persisten yang mampu mengendalikan Mac yang terinfeksi dari jarak jauh. Berbeda dengan komponen malware lain yang menghapus diri sendiri setelah eksekusi, backdoor ini tetap aktif di sistem.

Teknik siluman lainnya termasuk hosting malware di situs web yang dikompromikan namun tampak sah. Ini membantu malware lolos dari sistem keamanan berbasis reputasi. Payload juga menghapus diri sendiri setelah eksekusi, meninggalkan sangat sedikit jejak.

Meski demikian, Group-IB mengatakan pembela masih bisa mendeteksi aktivitas mencurigakan dengan memantau dialog password berulang yang dihasilkan melalui osascript, penghentian terus-menerus proses macOS, akses massal ke folder profil browser, dan koneksi keluar yang tidak biasa ke Telegram.

Pelajaran terpenting dari serangan ini sangat sederhana. Jika sebuah situs web meminta Anda membuka Terminal dan menempelkan perintah untuk membuktikan bahwa Anda manusia, tutup halaman tersebut segera. Tidak ada situs web sah, termasuk Cloudflare, yang memerlukan akses Terminal untuk verifikasi manusia.

Dan jika Mac Anda tiba-tiba tidak bisa digunakan sementara terus meminta password sistem, tahan keinginan untuk mematuhinya. Sebagai gantinya, paksa matikan menggunakan tombol power, restart dalam Safe Mode, dan selidiki sistem sebelum memasukkan kredensial apa pun. Dalam kasus ClickLock, password Anda bukan solusi, melainkan justru yang ditunggu-tunggu oleh penyerang.

Ikuti Telset.id di Google NewsFollow

Komentar

Belum ada komentar.