Security

Campagne ClickFix macOS : diffusion d’infostealers

3 min de lecture

Résumé

Microsoft a identifié une nouvelle campagne de type ClickFix visant les utilisateurs de macOS avec de fausses instructions de dépannage et d’utilitaires hébergées sur des blogs et des plateformes de contenu. Au lieu de télécharger des applications, les victimes sont incitées à exécuter des commandes Terminal qui contournent les contrôles habituels de macOS et déploient des infostealers comme Macsync, SHub Stealer et AMOS.

Besoin d'aide avec Security ?Parler à un expert

Introduction

Microsoft suit une campagne ClickFix en évolution qui cible désormais les utilisateurs de macOS via de faux contenus de dépannage et de fausses instructions d’installation d’utilitaires. C’est important, car l’attaque s’éloigne des téléchargements d’applications traditionnels et abuse à la place de commandes Terminal, aidant les attaquants à contourner une partie des protections que les utilisateurs attendent des installations standard d’applications macOS.

Nouveautés

Microsoft indique que des acteurs malveillants publient de faux conseils macOS sur des sites web autonomes, Medium, Craft et des plateformes similaires alimentées par les utilisateurs. Les leurres prétendent souvent aider à résoudre des problèmes courants, comme libérer de l’espace disque ou corriger des problèmes système.

Les principaux changements dans cette campagne incluent :

  • Les utilisateurs sont invités à coller dans Terminal des commandes encodées en Base64 ou obscurcies
  • Les commandes récupèrent du contenu distant et lancent des loaders basés sur des scripts
  • Les attaquants utilisent des outils natifs comme curl, osascript et des interpréteurs shell
  • Cette méthode évite les contrôles de type Gatekeeper normalement appliqués aux bundles d’applications ouverts dans Finder
  • Les charges utiles observées incluent Macsync, SHub Stealer et AMOS

Microsoft a également identifié trois chemins d’exécution :

  • Campagne d’installation par loader
  • Campagne d’installation par script
  • Campagne d’installation par helper

Dans l’ensemble de ces variantes, l’objectif reste le même : collecter des identifiants et des fichiers sensibles, établir une persistance et exfiltrer des données.

Pourquoi c’est important pour les administrateurs IT

Le malware va au-delà du simple vol d’identifiants. Selon Microsoft, ces infostealers peuvent collecter :

  • Des entrées Keychain
  • Des données de compte iCloud
  • Des identifiants de navigateur
  • Des données Telegram
  • Des médias et documents
  • Des données de portefeuille de cryptomonnaie

Certaines variantes remplacent également des applications légitimes de portefeuille crypto par des versions trojanisées, ce qui accroît le risque de vol financier.

Pour les équipes de sécurité, la préoccupation majeure est l’exécution déclenchée par l’utilisateur. Comme la victime exécute manuellement des commandes dans Terminal, les attaquants réduisent leur dépendance aux packages d’applications malveillants et augmentent les chances de compromission réussie.

Actions recommandées

Les administrateurs et les équipes de sécurité doivent prendre les mesures suivantes :

  • Sensibiliser les utilisateurs à ne pas coller de commandes dans Terminal depuis des blogs, forums ou pages de dépannage
  • Surveiller l’usage suspect de curl, osascript, des interpréteurs shell, ainsi que la création inattendue de LaunchAgent ou LaunchDaemon
  • Examiner les chemins de staging tels que /tmp/shub_<random ID> et la création inhabituelle d’archives dans /tmp
  • Vérifier les détections liées à l’exfiltration de données, aux invites d’identifiants et à la persistance associée à de faux services de mise à jour
  • Prioriser la protection des applications liées aux cryptomonnaies et des magasins de données sensibles comme Keychain

En résumé

Cette campagne ClickFix macOS montre comment l’ingénierie sociale évolue pour contourner les défenses traditionnelles basées sur les applications. Pour les défenseurs, la sensibilisation des utilisateurs, la supervision des endpoints et la détection de l’exécution suspecte de scripts sont désormais essentielles pour stopper ces chaînes d’infostealers avant le vol de données.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Defender Security Research Team
macOS securityClickFixinfostealerMicrosoft Defendermalware

Articles connexes

Security

Campagne de phishing AiTM visant Microsoft 365

Microsoft a détaillé une campagne de phishing adversary-in-the-middle (AiTM) à grande échelle qui utilisait de fausses enquêtes sur le code de conduite pour voler des jetons d’authentification. L’attaque combinait une ingénierie sociale soignée, des pages CAPTCHA intermédiaires et un flux de connexion Microsoft légitime, soulignant l’importance de protections résistantes au phishing et de défenses email renforcées.

Security

CVE-2026-31431 : menace d’escalade root Linux

Microsoft a détaillé CVE-2026-31431, une faille Linux d’escalade locale de privilèges de haute sévérité pouvant accorder un accès root sur les principales distributions et charges de travail hébergées dans le cloud. Le problème est important car il affecte les environnements à noyau partagé tels que les conteneurs et Kubernetes, augmentant le risque d’évasion de conteneur, de mouvement latéral et de compromission de l’hôte si les systèmes ne sont pas corrigés rapidement.

Security

Microsoft Agent 365 GA : sécurité et contrôles IA

Microsoft Agent 365 est désormais disponible en disponibilité générale pour les clients commerciaux, offrant aux équipes IT et de sécurité un plan de contrôle unifié pour observer, gouverner et sécuriser les agents IA dans Microsoft 365, sur les endpoints et dans les environnements cloud. De nouvelles fonctionnalités en preview étendent aussi la visibilité au Shadow AI, aux agents Windows locaux, aux plateformes d’agents multicloud et aux contrôles basés sur des stratégies via Defender et Intune.

Security

{{Paysage des menaces email T1 2026 : insights Microsoft}}

Microsoft signale 8,3 milliards d’e-mails de phishing détectés au T1 2026, avec plus du double d’attaques par QR code et des campagnes avec CAPTCHA en évolution rapide. Ces conclusions sont importantes pour les équipes de sécurité, car les attaquants se tournent vers le vol d’identifiants basé sur des liens, tandis que les actions de perturbation contre Tycoon2FA montrent qu’une réponse coordonnée peut réduire l’impact du phishing.

Security

Mises à jour Microsoft Security : Agent 365 et Defender

Microsoft a annoncé de nouvelles capacités de sécurité dans Agent 365, Defender for Cloud, GitHub Advanced Security et Microsoft Purview. Ces mises à jour visent à améliorer la visibilité sur l’activité des agents IA, à renforcer la protection du code jusqu’à l’exécution et à accélérer les enquêtes sur la sécurité des données pour les équipes sécurité et IT.

Security

Bonnes pratiques des revues de risques CISO

Microsoft a publié un cadre pratique pour aider les CISO et responsables sécurité à mener des revues de risques plus efficaces face à la montée des cybermenaces dopées à l’IA. Les recommandations portent sur huit domaines d’examen — des actifs et applications à l’authentification, l’autorisation et l’isolation réseau — afin d’aider les organisations à passer d’une réponse réactive à une réduction proactive des risques.