Jamf trouve une variante ClickFix qui remplace les leurres de terminal copier-coller pour l’exécution de l’éditeur de script, renforçant ainsi la livraison d’Atomic Stealer.
Les campagnes de malware ClickFix évoluent à nouveau, les acteurs malveillants supprimant l’une de leurs étapes les plus évidentes et dépendantes de l’utilisateur : convaincre les victimes de coller des commandes malveillantes dans Terminal. Au lieu de cela, la dernière variante utilise un seul clic de navigateur pour déclencher l’exécution du script, rationalisant ainsi la chaîne d’infection et réduisant les hésitations des utilisateurs.
Les chercheurs de Jamf Threat Labs ont identifié une nouvelle campagne macOS qui lance l’éditeur de script natif d’Apple directement depuis le navigateur, préchargé avec du code malveillant. La technique abuse du schéma d’URL applescript:// pour ouvrir automatiquement l’éditeur de script, contournant complètement le terminal et fournissant les charges utiles Atomic Stealer avec beaucoup moins de frictions.
« Script Editor a un historique bien documenté en tant que mécanisme de diffusion de logiciels malveillants, sa présence ici n’est donc pas
surprenant », ont déclaré les chercheurs dans un article de blog. « Ce qui est remarquable, c’est son rôle dans cette campagne ClickFix et le fait qu’elle a été invoquée via un schéma d’URL. »
La charge utile n’est pas nouvelle. Il s’agit d’Atomic Stealer, une souche de collecte d’informations d’identification couramment déployée dans les campagnes axées sur macOS.
Apple abandonne la protection, les attaquants la contournent
Traditionnellement, les chaînes ClickFix s’appuyaient sur l’ingénierie sociale pour inciter les utilisateurs à coller des commandes obscurcies dans le terminal. Les protections récentes d’Apple ont introduit l’analyse et les invites autour des commandes collées, ajoutant des restrictions pour perturber ce flux.
Cette campagne le contourne.
Les victimes sont dirigées vers une page sur le thème Apple se faisant passer pour un correctif système ou un guide de nettoyage. Au lieu de copier quoi que ce soit, ils cliquent sur un bouton qui appelle une URL applescript://. Cette action ouvre l’éditeur de script avec un script pré-rempli, prêt à être exécuté.
En ne demandant pas à l’utilisateur d’interagir avec le terminal, l’attaquant a supprimé un point de décision qu’Apple avait appliqué avec macOS Tahoe 26.4. « Apple a visé directement cela dans macOS 26.4, en introduisant une fonctionnalité de sécurité qui analyse les commandes collées dans le terminal avant leur exécution », ont ajouté les chercheurs. « Il s’agit d’un point de friction important, mais comme le montre cette campagne, lorsqu’une porte se ferme, les attaquants en trouvent une autre. »
Script Editor est un utilitaire natif de macOS et ne suscite pas les mêmes soupçons immédiats que Terminal pour les utilisateurs non expérimentés. Cependant, il existe encore des résistances non ciblées à cette technique.
Les chercheurs ont souligné que le comportement de l’éditeur de script peut varier en fonction de la version de macOS. « Sur les versions récentes de macOS Tahoe, une invite d’avertissement supplémentaire est présentée, demandant à l’utilisateur d’autoriser l’enregistrement du script sur le disque avant son exécution », ont-ils déclaré.
Mise en scène légère pour Atomic Stealer
Une fois exécuté, l’AppleScript se transforme en une commande shell obscurcie. Cette commande décode une URL cachée, récupère une charge utile distante à l’aide de « curl » et l’exécute via « zsh ». À partir de là, le vol d’informations standard prend le relais avec un binaire « Mach-O » écrit dans un emplacement temporaire, ses attributs ajustés, ses autorisations définies et son exécution déclenchée.
Ce binaire est une nouvelle variante de l’Atomic Stealer.
Les chercheurs ont noté que l’approche par étapes maintient le script initial minimal et moins détectable, tandis que la logique malveillante réelle arrive séparément. Il est modulaire, rapide à mettre à jour et plus difficile à comprendre dès la première étape.
Les objectifs d’Atomic Stealer sont cohérents avec les précédentes campagnes d’infostealer macOS, qui se concentraient sur la collecte des informations d’identification du navigateur, des mots de passe enregistrés, des données de portefeuille cryptographique et des artefacts de développeur. Des rapports antérieurs ont montré que ces voleurs opèrent rarement de manière isolée, dans la mesure où les données exfiltrées sont presque toujours canalisées vers des attaques de réutilisation d’identifiants et des piratages de comptes.
