Un ataque persistente puede hostigar a un equipo informático durante más de un mes sin descanso.

Una ventana habitual para introducir la contraseña puede convertir el escritorio de macOS en una trampa: el nuevo malware ClickLock bloquea por completo el sistema hasta que el propietario introduce sus credenciales. Según Group-IB, desde mayo el programa ha afectado al menos a 100 objetivos en 33 países, y más de la mitad se encontraban en Europa.
El método exacto de la infección inicial aún no se ha establecido. Los especialistas obtuvieron toda la cadena de archivos maliciosos, pero no encontraron sitios señuelo. Por su estructura, el guion ClickLock se atribuye al esquema ClickFix: se solicita al usuario que pegue un comando en Terminal bajo el pretexto de una comprobación de Cloudflare, tras lo cual aparece una ventana del sistema falsa con el nombre real de la cuenta. La contraseña introducida se verifica con los mecanismos de macOS, por lo que a los atacantes solo se les envían las credenciales válidas.
Si se cierra la ventana, el guion crea dos archivos LaunchAgent y finaliza. En el siguiente inicio, Finder, Dock, Spotlight, Terminal, Activity Monitor y los navegadores comienzan a cerrarse cada 210 milisegundos. En el escritorio queda una solicitud de contraseña. Un proceso independiente cada medio segundo consulta Keychain por la clave Chrome Safe Storage, provocando la confirmación legítima del sistema. Algunos ciclos pueden funcionar hasta 34,7 días, y NotificationCenter se desactiva temporalmente para ocultar las advertencias de Gatekeeper.
Tras introducir la contraseña, ClickLock recopila datos de Keychain, contraseñas guardadas y cookies de navegadores, archivos de monederos de criptomonedas, almacenes de gestores de contraseñas, historial de comandos y credenciales de FileZilla. La clave Chrome Safe Storage permite descifrar más tarde los datos robados en el equipo del atacante. Además, el programa establece un canal de retorno basado en GSocket, ocultando el archivo como componente de iCloud y el proceso como SystemUIServerl. Los módulos principales eliminan parte de las huellas, pero el canal encubierto permanece.
Ningún motor de antivirus en VirusTotal reconoció el guion de control subido el 9 de junio en el momento del análisis. Group-IB considera ClickLock un desarrollo inacabado. macOS 26.4 advierte sobre la inserción sospechosa en Terminal, sin embargo permite continuar manualmente y bloquea solo el malware ya conocido.
Si las aplicaciones se cierran repentinamente y aparece una solicitud de contraseña, no debe introducirse la información bajo ninguna circunstancia. Group-IB aconseja apagar el Mac forzosamente, arrancar en modo seguro, revocar las sesiones de navegador activas y cambiar las contraseñas guardadas. Las cookies, las claves de monederos y otros secretos deben considerarse comprometidos, y el sistema debe comprobarse para detectar un archivo en el directorio iCloudsync y el proceso SystemUIServerl.