
Malware macOS baru bernama ClickLock Stealer memanfaatkan social engineering dan process killing untuk melewati proteksi bawaan sistem operasi dan mendapatkan informasi berharga dari korban. Group-IB mendeteksi malware ini pada awal Juni 2026 dan menemukan bahwa setidaknya 100 pengguna di 33 negara telah menjadi target, lebih dari setengahnya berada di Eropa.
APA YANG TERJADI?
ClickLock Stealer dirancang untuk mengumpulkan berbagai jenis data dari sistem yang dikompromikan, termasuk data browser web, cryptocurrency wallet dan ekstensi wallet, serta ekstensi password manager. Malware juga bisa mengambil alamat blockchain dari enam chain, menargetkan macOS Keychain, kredensial FTP, dan shell history. Data yang dicuri dikompresi ke dalam file archive dan dieksfiltrasi ke Telegram bot.
Group-IB percaya penyerang menggunakan SEO poisoning, postingan media sosial, atau website yang dikompromikan untuk menarik korban ke halaman ClickFix attack yang menyamar sebagai verifikasi Cloudflare. Pengguna yang mendarat di halaman ini diminta menyalin bash command, menempelkannya ke Terminal macOS, dan mengeksekusinya. Perintah tersebut mengunduh dan menjalankan orchestrator script, yang kemudian mengambil empat script lain yang masing-masing berfungsi sebagai credential stealer, cryptocurrency stealer, Keychain stealer, dan installer backdoor.
DETAIL TEKNIS
Yang membuat ClickLock Stealer unik adalah penggunaan aggressive process-killing loops untuk mengakses data target. Orchestrator menampilkan dialog macOS palsu untuk menangkap password user, sambil membunuh setiap proses yang terlihat sehingga hanya window password yang ditampilkan di layar sampai korban mematuhi. Loop background secara continuous membunuh macOS NotificationCenter selama sekitar 6 jam, menekan peringatan Gatekeeper atau keamanan yang mungkin memperingatkan korban.
Komponen lainnya juga secara agresif menghentikan aplikasi yang mungkin digunakan korban untuk menganalisis atau mengganggu serangan. Ketika malware query macOS Keychain untuk Chrome Safe Storage encryption key, user diminta otorisasi aksi tersebut. Sekali lagi, semua proses dibunuh sampai user mematuhi dan akses Keychain diberikan. Pendekatan ini sangat efektif karena malware diunduh dan dieksekusi langsung oleh korban dengan hak akses mereka sendiri, sehingga tidak memerlukan exploit atau privilege escalation.
DAMPAK TERHADAP INDONESIA
Pengguna macOS di Indonesia, terutama di kalangan profesional kreatif, developer, dan eksekutif, menjadi target potensial bagi ClickLock Stealer. Banyak pengguna macOS Indonesia yang menyimpan data sensitif termasuk kredensial cryptocurrency di Keychain, menjadikan data ini sangat berharga bagi penyerang. Teknik ClickFix yang digunakan sangat efektif karena memanfaatkan kebiasaan user menjalankan perintah di Terminal tanpa pemahaman mendalam tentang implikasinya. BSSN dan Kominfo perlu mengedukasi pengguna macOS Indonesia tentang bahaya menjalankan perintah yang tidak dikenal di Terminal, serta pentingnya tidak mengabaikan peringatan Gatekeeper. Komunitas developer Indonesia yang banyak menggunakan macOS harus waspada terhadap distribusi malware melalui forum dan media sosial.
REKOMENDASI MITIGASI
Pengguna macOS harus selalu mengabaikan instruksi yang meminta menyalin dan menjalankan perintah bash dari website, terlepas dari betapa meyakinkannya tampilannya. Aktifkan dan pertahankan Gatekeeper pada pengaturan default. Jangan pernah memasukkan password macOS ke dialog yang muncul tanpa konteks yang jelas. Install dan perbarui software keamanan endpoint yang mampu mendeteksi aktivitas process killing yang agresif. Monitor aktivitas Keychain secara proaktif dan batasi akses Keychain hanya untuk aplikasi yang benar-benar diperlukan. Pertahankan backup data di luar sistem yang terenkripsi.
Analisa Retasan
ClickLock Stealer menunjukkan pemahaman mendalam tentang UX macOS dan bagaimana memanfaatkan desain sistem operasi melawan penggunanya. Teknik process killing yang agresif – membunuh NotificationCenter selama 6 jam untuk menekan peringatan Gatekeeper – adalah pendekatan yang belum pernah terlihat sebelumnya pada infostealer macOS. Ini mengingatkan pada Atomic Stealer (AMOS) yang muncul pada 2024 dan menjadi template untuk infostealer macOS modern, namun ClickLock melangkah lebih jauh dengan memanipulasi attention user melalui process killing. Pada dasarnya, malware ini memanfaatkan human factor yang paling fundamental: ketika hanya ada satu dialog di layar dan semua aplikasi lain sudah tertutup, user secara natural akan fokus pada dialog tersebut dan memasukkan password mereka. Pendekatan ini mengingatkan pada teknik coercive social engineering yang digunakan dalam vishing, namun diimplementasikan secara teknis di tingkat sistem operasi. Fakta bahwa Group-IB menemukan setidaknya 100 korban di 33 negara dalam waktu singkat menunjukkan efektivitas distribusi model ini.
Dari perspektif pertahanan, ClickLock Stealer mengekspos gap signifikan dalam security model macOS. Apple telah menginvestasikan sumber daya besar dalam code signing, Gatekeeper, dan notarization, namun semua mekanisme ini bisa di-bypass ketika user secara aktif menjalankan perintah yang diminta oleh attacker. Proses ClickFix memanfaatkan fakta bahwa Terminal adalah application yang sah dan perintah bash adalah aktivitas yang diizinkan oleh sistem, sehingga tidak ada security control yang secara inheren memblokir alur ini. Untuk organisasi yang mengelola fleet macOS, ini berarti application whitelisting dan endpoint protection menjadi semakin penting, terutama kemampuan untuk mendeteksi aktivitas anomali seperti mass process killing yang berkelanjutan.
Sumber: SecurityWeek – ClickLock Stealer Bypasses macOS Security


