Nach Angaben von Group-IB sammelt ClickLock Stealer Daten aus Webbrowsern, Kryptowallets und Wallet-Erweiterungen sowie aus Erweiterungen für Passwortmanager. Hinzu kommen Blockchain-Adressen von sechs Chains, Inhalte des macOS Keychain, FTP-Zugangsdaten und die Shell-Historie. Die erbeuteten Daten werden in ein Archiv gepackt und an einen Telegram-Bot exfiltriert.

Wie die Malware verteilt wird, konnten die Forscher nicht abschließend klären. Group-IB hält es jedoch für möglich, dass die Täter auf Suchmaschinenmanipulation, Beiträge in sozialen Medien oder kompromittierte Websites setzen, um Opfer auf eine ClickFix-Seite zu locken, die als Cloudflare-Verifizierung getarnt ist.

Wer auf dieser Seite landet, wird aufgefordert, einen Bash-Befehl zu kopieren, in das macOS-Terminal einzufügen und auszuführen. Nach dem Start lädt ein Orchestrator-Skript vier weitere Skripte nach und führt sie aus. Diese übernehmen laut Group-IB jeweils die Funktionen eines Zugangsdaten-Diebs, eines Krypto-Diebs, eines Keychain-Diebs und eines Backdoor-Installers.

Die Backdoor verbleibt auf dem kompromittierten System, während die übrigen Skripte nach dem Diebstahl und der Rückübermittlung der Daten entfernt werden. Dass ClickLock Stealer auf Exploits verzichten kann, liegt laut den Forschern daran, dass die Malware direkt durch das Opfer selbst und mit dessen eigenen Rechten heruntergeladen und gestartet wird.

Um an geschützte Daten zu gelangen, arbeitet die Malware mit aggressiven Schleifen zum Beenden von Prozessen. Die Orchestrator-Komponente blendet einen gefälschten macOS-Dialog ein, um das Passwort des Nutzers abzugreifen, und beendet dabei sämtliche sichtbaren Prozesse, sodass auf dem Bildschirm nur noch das Passwortfenster erscheint, bis das Opfer reagiert.

Group-IB schreibt dazu in einem Blogbeitrag, dass außerdem „eine Hintergrundschleife gestartet wird, die das macOS NotificationCenter fortlaufend für ungefähr sechs Stunden beendet und so sämtliche Gatekeeper- oder Sicherheitswarnungen unterdrückt, die das Opfer alarmieren könnten“.

Auch andere Komponenten beenden gezielt Anwendungen, mit denen das Opfer den Angriff analysieren oder stören könnte. Der Zugangsdaten-Dieb zeigt ebenfalls einen gefälschten macOS-Passwortdialog an und hält ihn in einer langen Schleife offen, während andere Programme beendet werden, um die Eingabe des Passworts zu erzwingen.

Wenn die Malware den macOS Keychain nach dem Chrome-Safe-Storage-Schlüssel abfragt, der Passwörter und andere Browserdaten schützt, muss der Nutzer die Aktion autorisieren. Auch in diesem Fall werden Prozesse so lange beendet, bis die Freigabe erteilt wird und der Zugriff auf den Schlüsselbund möglich ist.