Nach Angaben von Group-IB beginnt die Kompromittierung wahrscheinlich mit einer ClickFix-Ködermethode. Die Forscher beobachteten eingefügte bösartige Terminal-Befehle, die eine gefälschte Cloudflare-„Überprüfung auf menschliche Nutzer“ mit animiertem Fortschrittsbalken auslösen. Gleichzeitig werden Tastaturunterbrechungen deaktiviert, der Terminal-Cursor ausgeblendet und die Stealer-Module im Hintergrund nachgeladen.

Zusätzlich unterdrückt ClickLock für etwa sechs Stunden das macOS NotificationCenter. Benachrichtigungen, die den Angriff sichtbar machen könnten, bleiben damit aus. Group-IB betont, dass der Schädling weder Schwachstellen ausnutzt noch besondere Berechtigungen benötigt, sondern sein Ziel durch Täuschung und Zwang erreicht.

Zunächst zeigt das Skript laut Group-IB einen gefälschten macOS-Passwortdialog an, der den echten Benutzernamen des Opfers sowie ein heruntergeladenes Apple-Symbol verwendet. Gibt der Nutzer sein Passwort ein, validiert die Malware die Eingabe und überträgt sie über Telegram an den Angreifer. Wird der Dialog abgebrochen, richtet die Malware Persistenz über zwei macOS-LaunchAgents ein: com.authirity.plist und com.chromer.plist. Beim nächsten Anmelden wird der Schädling erneut geladen.

Danach startet ein Passwort-Diebstahlmodul eine Beendigungsschleife, die alle 210 Millisekunden zentrale Anwendungen abschießt, darunter Finder, Dock, Terminal, Aktivitätsanzeige, Konsole, Systemeinstellungen, Spotlight und Webbrowser. Auf dem Bildschirm bleibt nur noch der Passwortdialog sichtbar, bis das Opfer nachgibt. Laut Group-IB ist diese Schleife auf 300.000 Sekunden, also rund 83 Stunden, oder bis zur Eingabe des korrekten Passworts ausgelegt.

Ein zweiter LaunchAgent setzt eine weitere Zwangsmechanik um. Auch sie beendet zahlreiche Systemanwendungen, zeigt aber eine legitime Systemabfrage zur Schlüsselbund-Autorisierung an, um Zugriff auf den Chrome-Safe-Storage-Schlüssel zu erhalten. Mit diesem Schlüssel könnten offline gespeicherte Chromium-Passwörter, Cookies und Autofill-Daten aus erbeuteten Datenbanken entschlüsselt werden. Diese zweite Schleife läuft im Abstand von 200 Millisekunden und ist auf fast 35 Tage beziehungsweise 3 Millionen Sekunden konfiguriert.

ClickLock bringt außerdem ein Modul zur Datensammlung mit. Die gesammelten Informationen und eine Protokollzusammenfassung werden in ein ZIP-Archiv gepackt und über die Telegram-Bot-API hochgeladen. Dateien mit mehr als 40 MB werden in kleinere Teile zerlegt; eine Wiederaufnahmelogik sorgt dafür, dass Uploads nach vorübergehenden Netzfehlern fortgesetzt werden.

Als letztes Modul setzt die Malware eine modifizierte Version des Open-Source-Werkzeugs GSocket ein. Diese Komponente fungiert als dauerhafte Hintertür, richtet Persistenz über mehrere Methoden ein, darunter LaunchAgent, Crontab-Einträge und Änderungen an Shell-Konfigurationsdateien, und verbindet sich über ein GSocket-Relay. So kann der Angreifer eine Reverse Shell öffnen und das System aus der Ferne steuern. Im Unterschied zu den anderen ClickLock-Modulen, die sich nach der Ausführung selbst löschen, verbleibt GSocket dauerhaft auf infizierten Systemen.

Group-IB warnt, die Malware hinterlasse nur ein enges Zeitfenster zur Erkennung. Die schädlichen Nutzlasten würden auf kompromittierten legitimen Domains mit unauffälligem Ruf gehostet, das Skript werde auf VirusTotal nicht als bösartig markiert und seine Module löschten sich nach der Ausführung selbst. Erkennbar sei der Angriff dennoch an Aktivitäten wie osascript-gestützten Passwortdialogen, wiederholtem Beenden von Prozessen, massenhaftem Zugriff auf Browser-Profilverzeichnisse und ausgehenden Verbindungen zur Telegram-API.

Den Forschern zufolge sollten Nutzer keine Terminal-Befehle einfügen, die sie nicht vollständig verstehen, insbesondere wenn die Aufforderung von einer Webseite kommt. „Jede Seite, die Sie anweist, das Terminal zu öffnen, versucht Ihr System zu kompromittieren, ganz gleich, wie professionell sie aussieht“, so Group-IB. Wenn ein Login-Passwort abgefragt wird, während der Rest des Systems nicht mehr reagiert, empfiehlt Group-IB ein erzwungenes Herunterfahren über den Einschaltknopf und anschließend den Start im abgesicherten Modus zur Wiederherstellung des Systems.