Artur Marciniec - Fotolia
ClickFix : la menace d'adapte déjà aux nouvelles protections de macOS
Cette menace d'ingénierie sociale contourne déjà les protections introduites avec macOS 26.4 en passant par l'Éditeur de script, pour déployer le cleptogiciel Atomic Stealer.
La technique dite « ClickFix » repose sur un principe d'ingénierie sociale redoutable : inciter un utilisateur à exécuter une commande malveillante en simulant une procédure de maintenance système. Traditionnellement, ces attaques poussent la victime à copier-coller des instructions dans le Terminal. Cependant, les chercheurs de Jamf Threat Labs ont identifié une variante sophistiquée qui contourne cette approche classique : « cette variante utilise un flux déclenché par le navigateur pour lancer l'Éditeur de script », explique ainsi Thijs Xhaflaire.
Le mécanisme repose sur l'utilisation du schéma d'URL `applescript://`. Lorsqu'un utilisateur clique sur un bouton frauduleux sur une page web simulant une maintenance Apple, le navigateur déclenche ce schéma pour ouvrir directement l'Éditeur de script de macOS avec un script pré-rempli. Ce détournement est stratégique : en évitant le Terminal, les attaquants cherchent à contourner les protections qui surveillent spécifiquement les actions de collage dans l'interface de ligne de commande habituelle.
La charge utile : Atomic Stealer
Une fois que l'utilisateur valide l'exécution du script dans l'Éditeur de script, le véritable danger se manifeste. La commande, bien que maquillée pour tromper la vigilance humaine, suit un schéma d'infection efficace. Elle utilise notamment `curl` pour télécharger un contenu qui est immédiatement exécuté en mémoire via un "pipe" vers `zsh`, évitant ainsi l'écriture directe sur le disque lors de la première étape.
Le résultat final est le déploiement d'une variante d'Atomic Stealer, un infostealer - ou cleptogiciel - conçu pour exfiltrer des données sensibles. Le processus est segmenté pour maximiser la furtivité : une commande initiale légère récupère un second étage qui, après décompression et décodage, installe le binaire malveillant dans `/tmp`.
Cette mutation apparaît comme une réponse à la stratégie de défense à deux couches mise en place par Apple avec macOS 26.4. La première couche est comportementale et s'appuie sur le contexte du collage dans le presse-papier. Le système analyse l'origine du contenu en utilisant la méthode `sourceSigningIdentifier`. Selon Ferdous Saljooki de Jamf Software, « l'application Terminal vérifie de qui provient la copie ». Une alerte est déclenchée si cinq conditions sont réunies, notamment si l'utilisateur n'est pas un développeur et s'il n'a pas utilisé le Terminal depuis plus de 30 jours.
La seconde couche mobilise XProtect pour une analyse du contenu lui-même : « cette seconde couche de protection se concentre donc sur la commande elle-même et se positionne au niveau du "coller" », explique Ferdous Saljooki. XProtect scanne les domaines et adresses IP contenus dans la commande pour détecter des marqueurs malveillants connus. Cela offre une sécurité même pour les utilisateurs intensifs du Terminal qui pourraient ignorer les alertes comportementales.
Mais manifestement, les acteurs malveillants ont décidé de ne pas baisser les bras et de continuer à jouer au chat et à la souris.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
![]()
ClickFix : une seconde couche de protection dans macOS 26.4
Par: Valéry Rieß-Marchive
-
![]()
Apple a intégré à macOS 26.4 une protection contre ClickFix
Par: Valéry Rieß-Marchive
-
![]()
La détection et la réponse aux menaces dans le navigateur comblent de réelles lacunes
Par: Dave Shackleford
-
![]()
Administration : déboguez vos scripts PowerShell avec Visual Studio Code
Par: Anthony Howell
