ClickFix : une seconde couche de protection dans macOS 26.4

Apple a doté macOS 26.4 de mécanismes de protection contre la menace dite "ClickFix".

Pour mémoire, cette technique consiste à berner un internaute pour lui faire exécuter une ligne de commande malveillante. Exécution qui pourra déboucher sur celle d’un cleptogiciel (ou infostealer), notamment.

Une première couche de protection s'appuie sur l'origine de la ligne de commande collée dans Terminal et le profil de l'utilisateur, principalement. Mais elle n'est pas seule.

Ferdous Saljooki, de Jamf Software, qui avait déjà documenté la première première couche vient de se pencher sur la seconde. Cette dernière s'appuie sur XProtect, le moteur de détection de menaces natif de macOS, basé sur les règles Yara.

Cette seconde couche de protection se concentre donc sur la commande elle-même et se positionne au niveau du coller, pour l'empêcher, sans alternative. Le Terminal de macOS est ainsi protégé, mais également tout processus connecté à un pseudo-terminal. Ce qui couvre iTerm ou encore le terminal de Visual Studio Code.

XProtect récupère notamment les adresses IP et noms de domaine présents dans la ligne de commande, à la recherche de marqueurs malveillants connus. L'application source du contenu du presse-papier est également vérifiée : si ce n'est pas un navigateur, les contrôles sont abandonnés.

Comme le relève Ferdous Saljooki, les "deux systèmes de protection contre le collage de contenu se complètent. Terminal détecte les schémas comportementaux, par exemple lorsqu'un utilisateur non développeur effectue un collage depuis un navigateur pour la première fois depuis des mois, même si le contenu est inoffensif".

Et de son côté, Xprotect "détecte les domaines malveillants connus, même si vous êtes un développeur qui passe le plus clair de son temps sur Terminal".