ClickLock gelangt als Befehl auf das System, den das Opfer in Terminal einfügt. Das Skript zeigt anschließend einen gefälschten Systemdialog zur Passworteingabe an. Wird die Abfrage abgebrochen, legt es laut Group-IB die Dateien com.authirity.plist und com.chromer.plist in ~/Library/LaunchAgents/ ab und beendet sich unauffällig.
Bei der nächsten Anmeldung startet der eigentliche Zwangsmechanismus. Ein LaunchAgent löst die 210-Millisekunden-Schleife aus, bis ein Passwort eingegeben wird. Ein zweiter startet eine eigene Schleife in Intervallen von 0,2 Sekunden für bis zu 3.000.000 Sekunden, also rund 34,7 Tage, während ein Hintergrundprozess alle halbe Sekunde den Schlüsselbund nach dem Safe-Storage-Schlüssel von Chrome abfragt. Diese Abfrage erzeugt einen echten macOS-Dialog, und die Schleife hält den Desktop laut Group-IB so lange als Geisel, bis das Opfer zustimmt. Zusätzlich beendet eine dritte Schleife sechs Stunden lang das NotificationCenter, damit keine Gatekeeper-Warnung angezeigt wird.
Der eigentliche Nutzen für die Angreifer liegt in den abgegriffenen Daten. Ein erfolgreicher Durchlauf liefert den validierten macOS-Anmeldepasswort, den Safe-Storage-AES-Schlüssel von Chrome sowie ein ZIP-Archiv mit Browser-Zugangsdaten und Cookies, den Speicherständen von Krypto-Wallet-Erweiterungen, Dateien von Desktop-Wallets, Passwortmanager-Tresoren, dem Schlüsselbund, Shell-Verläufen und in FileZilla gespeicherten Server-Zugangsdaten. Group-IB betont, dass insbesondere der Safe-Storage-Schlüssel wichtig ist, weil sich damit die auf dem Datenträger gespeicherten Chrome-Passwörter und Cookies offline auf dem System des Angreifers entschlüsseln lassen.
Als Tarnung nutzt die Kampagne laut Group-IB ClickFix mit hoher Sicherheit. Das Skript erwartet als erstes Argument eine RAY_ID und beginnt mit einem gefälschten Cloudflare-CAPTCHA-Banner über einem Fortschrittsbalken, der in zehn Sekunden zwölf Statuszeilen durchläuft. Beides habe keine Funktion und solle nur jemanden beruhigen, der gerade einen Befehl in Terminal eingefügt hat. Danach deaktiviert script.sh Tastaturunterbrechungen, blendet den Mauszeiger aus und lädt vier Nutzlasten von zwei kompromittierten Websites nach. Zwei davon werden direkt an bash übergeben, zwei weitere landen versteckt in $HOME/.cacheb/.
Die Passwortabfrage selbst kommt als osascript-Dialog mit einer heruntergeladenen Apple-Grafik und dem echten Benutzernamen des Opfers. Eingegebene Kennwörter prüft die Malware zunächst mit dscl /Local/Default -authonly, sodass nur ein funktionierendes Passwort weitergegeben wird. Microsoft hatte dieselbe Validierung in SHub Stealer bereits im Mai dokumentiert, zusammen mit AMOS und MacSync in derselben Welle von macOS-ClickFix-Kampagnen. Exfiltration per Telegram und Persistenz über LaunchAgents bezeichnet der Bericht als Standardbausteine.
Die Hintertür goyim ist nach Angaben von Group-IB zu etwa 80 Prozent eine Kopie des öffentlichen Deploy-Skripts von GSocket, einem Open-Source-Tunneling-Werkzeug von The Hacker’s Choice. Die Forscher ordneten diese Kopie einem Relay unter gsnc[.]eu:67 zu; die Binärdatei wurde direkt von gsocket.io geladen. Eine eigene Kommando-und-Kontroll-Infrastruktur beobachtete Group-IB nicht. Die Stealer-Nutzlasten lagen auf drei kompromittierten Domains mit unauffälliger Reputation, darunter eine gehackte WordPress-Seite, und die Beute wurde über drei Telegram-Bots abtransportiert. Auf macOS landet die Binärdatei als iCloud in ~/Library/Application Support/iCloudsync, der Prozess läuft unter dem Namen SystemUIServerl – nur ein Buchstabe entfernt vom echten Prozessnamen.
Group-IB weist darauf hin, dass macOS 26.4, das Ende März veröffentlicht wurde, bei verdächtigen Einfügevorgängen in Terminal warnt und bekannte Schadsoftware blockiert. Microsoft hatte diese Schutzmaßnahme als direkte Antwort auf ClickFix-Verbreitung hervorgehoben. Apples eigene Dokumentation zeigt laut Bericht jedoch Grenzen: Die Warnung erscheint nur, wenn Terminal nicht regelmäßig genutzt wird, und bietet eine Schaltfläche zum trotzdem Einfügen. Die harte Blockade greift nur, wenn macOS die Schadsoftware bereits kennt. Jamf Threat Labs dokumentierte im April zudem eine Kampagne, die den Einfügevorgang mit einer applescript://-Adresse ganz umgeht und stattdessen den Skripteditor mit vorgeladener Nutzlast öffnet.
Für ClickLock hebt Group-IB besonders die erzwungene Interaktion hervor. Die schnellen pkill- und killall-Serien gegen Finder, Dock, SystemUIServer und NotificationCenter seien „ein Verhalten, das nur bei Malware zur Erzwingung von Interaktion vorkommt und keinen legitimen Anwendungsfall hat“. Wer ein solches Verhalten beobachtet, soll laut Group-IB das Passwort nicht eingeben, den Rechner über den Einschaltknopf ausschalten und im abgesicherten Modus neu starten. Beim Aufräumen bleibt laut Bericht ein Problem: Die Stealer-Module entfernen ihre eigenen LaunchAgents, fälschen ihre Zeitstempel anhand von ~/Movies und löschen sich selbst, goyim aber nicht. Nach erfolgreicher Passworteingabe kann daher ein äußerlich unauffälliges System mit laufender Reverse Shell zurückbleiben.
