Sur macOS, les cleptogiciels reprennent des méthodes du monde Windows

Comment piéger des utilisateurs de Mac pour voler leurs identifiants ? En les amenant à copier, coller et exécuter une ligne de commande dans le Terminal.

La technique est connue dans le monde Windows sous le nom de ClickFix : il s’agit d’inciter l’utilisateur à copier, coller et exécuter une ligne de commande, cachant notamment un script PowerShell. L’incitation peut être poussée aux internautes via du malvertising – de fausse publicité malveillante – de faux Captchas, ou encore de fausses demandes de vérification que l’on est bien humain, voire qu’une extension manquante doit être installée.

Sur macOS, la méthode est comparable, si ce n’est qu’elle s’appuie sur le Terminal et, notamment, du script Shell au lieu de PowerShell.
Validin a récemment documenté une campagne s’appuyant, pour appâter l’internaute, sur une fausse plateforme de recrutement. C’est à l’occasion d’un faux entretien d’embauche, en vidéo, qu’est enclenchée l’approche ClickFix.

Jamf s’est également penché sur cette menace. Là, la commande à exécuter devrait, prétendument, permettre de mettre à jour Ffmpeg sur macOS. Ce qui est évidemment mensonger. La chaîne d’exécution conduit à l’installation d’un logiciel malveillant dit FlexibleFerret. Les droits administrateur nécessaires à son installation et à celle de ses mécanismes de persistance sont demandés au travers d’une alerte aux couleurs de Google Chrome.

En septembre, les chercheurs de SentinelOne avaient notamment relevé une campagne de distribution de FlexibleFerret visant notamment des développeurs utilisant GitHub.

Ce maliciel est une porte dérobée qui permet un accès à long terme pour collecter des informations sur le système, télécharger/téléverser des fichiers, exécuter des commandes shell, voler des profils Chrome et automatiser d’autres vols. Il exfiltre les données via les API Dropbox.

En juin dernier, les chercheurs de CloudSek s’étaient penchés sur une autre campagne de type ClickFix visant les utilisateurs de Mac avec le cleptogiciel Amos, ou Atomic macOS Stealer. Ce dernier est proposé à la location, suivant donc le modèle commercial du Malware as a Service (MaaS), depuis le 9 avril 2023.

Face à la méthode ClickFix, si des méthodes techniques existent, la sensibilisation s’impose comme première mesure de prévention, en apprenant aux utilisateurs à considérer comme dangereuses par défaut ces lignes de commande impromptues à copier/coller dans le Terminal.