ClickLock, Malware macOS Baru yang Paksa Pengguna Membocorkan Password Login

Peneliti keamanan mengungkap malware macOS baru bernama ClickLock Stealer yang dirancang untuk memaksa korban memasukkan password login sistem. Malware ini tidak bergantung pada eksploitasi kerentanan, melainkan memanfaatkan social engineering dan loop interaksi yang membuat sistem nyaris tidak bisa digunakan sampai korban mengikuti instruksi penyerang.
ClickLock ditemukan setelah sebuah shell script berbahaya diunggah ke VirusTotal pada 9 Juni 2026. Pada saat dianalisis, sampel tersebut belum terdeteksi oleh mesin keamanan yang tersedia di platform tersebut. Operasi ClickLock disebut telah aktif sejak sekitar Mei 2026 dan menargetkan sedikitnya 100 korban di 33 negara.
Rantai infeksi kemungkinan dimulai melalui teknik ClickFix, yaitu halaman palsu yang membujuk pengguna menyalin dan menjalankan perintah di Terminal. Dalam kasus ini, korban diarahkan pada alur verifikasi palsu bertema Cloudflare, lengkap dengan animasi progress bar yang terlihat seolah-olah sedang memverifikasi akses.
Saat animasi tersebut berjalan, script mulai menyiapkan modul tambahan di belakang layar. Malware menonaktifkan interupsi keyboard, menyembunyikan kursor Terminal, menekan NotificationCenter macOS selama beberapa jam, dan mengunduh komponen pencuri kredensial, pencuri Keychain, pencuri aset kripto, serta backdoor berbasis GSocket.
Bagian paling agresif dari ClickLock adalah mekanisme pemaksaan password. Malware menampilkan dialog password macOS palsu menggunakan nama pengguna korban dan ikon Apple agar tampak meyakinkan. Jika password dimasukkan, data tersebut divalidasi lalu dikirim ke penyerang melalui Telegram.
Jika korban menutup atau membatalkan dialog, ClickLock memasang dua LaunchAgents untuk mempertahankan akses. Pada aktivasi berikutnya, modul pencuri password menjalankan loop terminasi aplikasi setiap 210 milidetik, menutup aplikasi penting seperti Finder, Dock, Terminal, Activity Monitor, Console, System Settings, Spotlight, dan browser. Akibatnya, korban hanya dihadapkan pada prompt password sampai akhirnya menyerah.
Modul lain menggunakan pendekatan serupa untuk memicu prompt Keychain asli, dengan tujuan memperoleh akses ke Chrome Safe Storage key. Kunci tersebut dapat digunakan untuk mendekripsi data Chromium yang tersimpan secara offline, termasuk password, cookie, dan autofill dari database browser yang dicuri.
Selain password macOS, ClickLock juga menargetkan data dari delapan browser, data login, cookie, autofill, bookmark, local storage, session storage, ekstensi dompet kripto, file desktop wallet, data password manager, histori shell, konfigurasi FileZilla, informasi sistem dasar, dan alamat IP publik. Data yang terkumpul dikemas ke dalam arsip ZIP dan dikirim melalui Telegram Bot API.
Malware ini juga memasang backdoor berbasis GSocket yang dimodifikasi. Komponen tersebut menjadi bagian yang tetap bertahan di sistem, memungkinkan penyerang membuka reverse shell dan mengendalikan perangkat dari jarak jauh setelah tahap pencurian data selesai.
ClickLock dinilai berbahaya karena meninggalkan jendela deteksi yang sempit. Beberapa modul menghapus diri setelah dijalankan, sementara payload dapat di-host di domain sah yang sebelumnya telah dikompromikan. Meski begitu, aktivitas seperti pemanggilan osascript untuk dialog password, terminasi proses berulang, akses massal ke direktori profil browser, dan koneksi keluar ke Telegram API tetap dapat menjadi indikator deteksi.
Pengguna macOS disarankan tidak pernah menyalin dan menjalankan perintah Terminal dari halaman web yang tidak benar-benar dipahami, terutama jika dikemas sebagai verifikasi keamanan atau CAPTCHA. Jika sistem tampak terkunci dan hanya menampilkan permintaan password, langkah aman yang disarankan adalah memaksa perangkat mati, lalu melakukan pemulihan dari Safe Mode.








