Les utilisateurs de Mac sont ciblés par une campagne malveillante sophistiquée. Sous couvert de vérification CAPTCHA, les victimes sont incitées à exécuter une commande dans le Terminal, déclenchant le téléchargement et l’installation silencieuse d’un voler qui dérobe mots de passe, données bancaires et informations de portefeuilles de crypto-monnaies.
Une nouvelle campagne ClickFix ciblant macOS exploite des commandes du Terminal pour télécharger, monter et exécuter silencieusement un malware dérobant des informations à partir de fichiers d’image disque (DMG) malveillants.
Alerte pour les utilisateurs de Mac : une fausse vérification CAPTCHA installe un malware qui vole les données personnelles.
Les utilisateurs d’ordinateurs Mac sont la cible d’une nouvelle campagne malveillante utilisant de fausses vérifications CAPTCHA pour installer un logiciel capable de dérober mots de passe, informations bancaires, documents et même les données de portefeuilles de crypto-monnaies.
Cette menace, découverte par les chercheurs de Palo Alto Networks Unit 42, exploite la technique dite ClickFix. Cette méthode d’ingénierie sociale cherche à convaincre les victimes d’exécuter des commandes dangereuses dans le Terminal de macOS.
L’image montre une longue commande pour le Terminal macOS présentée aux victimes comme faisant partie d’une vérification CAPTCHA légitime. En réalité, il s’agit d’une commande malveillante utilisée dans une campagne ClickFix.
Tout commence par une vérification frauduleuse
L’attaque démarre lorsque l’utilisateur visite une page web affichant une prétendue vérification CAPTCHA. Au lieu de demander simplement de sélectionner des images ou de saisir des caractères, la page demande à la victime d’ouvrir le Terminal et de coller une commande pour « confirmer » qu’il s’agit d’une personne réelle.
Ceux qui suivent ces instructions exécutent une commande qui télécharge silencieusement un fichier malveillant sur l’ordinateur.
Contrairement aux campagnes précédentes, cette nouvelle méthode automatise presque l’intégralité du processus. La commande télécharge un fichier DMG, le monte de manière invisible et exécute automatiquement l’application malveillante sans nécessiter d’interaction supplémentaire de la part de l’utilisateur.
ClickFix : comment le malware est installé
Après l’exécution de la commande, un fichier DMG est téléchargé depuis un serveur contrôlé par les attaquants. Le fichier est temporairement enregistré sur le système puis monté grâce à l’outil natif hdiutil de macOS.
Ensuite, un script recherche des applications ou des installateurs à l’intérieur de l’image disque et les exécute automatiquement.
Les chercheurs ont identifié un échantillon distribué via un fichier nommé « s.01M0td.dmg », qui contenait une application auto-signée appelée « NNApp.app ».
Que peut voler ce malware ?
La charge malveillante appartient à la famille Atomic macOS Stealer (AMOS), l’une des plus connues actuellement dans l’écosystème macOS.
Une fois installé, le malware tente de collecter une quantité énorme d’informations sensibles de l’utilisateur.
Parmi les données ciblées figurent :
- Mots de passe enregistrés dans les navigateurs
- Cookies d’authentification
- Historique de navigation
- Données de remplissage automatique
- Cartes de paiement stockées
- Jetons d’accès aux services en ligne
Le malware recherche également des informations dans les navigateurs basés sur Chromium, comme Chrome, Edge, Brave, Opera, Arc et Vivaldi, ainsi que dans les navigateurs dérivés de Firefox, dont LibreWolf, Waterfox, Tor Browser et Zen Browser.
Les portefeuilles de crypto-monnaies sont aussi dans le viseur
L’une des principales préoccupations des chercheurs concerne l’accent mis sur les crypto-monnaies.
L’Atomic macOS Stealer recherche les données stockées dans divers portefeuilles numériques, y compris Exodus, Electrum, Atomic Wallet, Wasabi Wallet, Bitcoin Core, Litecoin Core, Binance Wallet, Dogecoin Wallet et TonKeeper.
De plus, le malware peut remplacer les installations légitimes de Ledger Live et Trezor Suite par des versions falsifiées, augmentant le risque de vol de fonds.
Telegram, Discord et Keychain sont également ciblés
La collecte d’informations ne se limite pas aux navigateurs et aux crypto-monnaies.
Le malware recherche aussi les données de Telegram Desktop et Discord, les notes stockées dans Apple Notes, les cookies Safari, les documents PDF, TXT et RTF, ainsi que les fichiers de l’Apple Keychain, où le système conserve les mots de passe et autres identifiants.
Toutes les informations collectées sont compressées dans un fichier ZIP et envoyées vers des serveurs contrôlés par les attaquants.
ClickFix : comment se protéger
Les experts donnent une recommandation simple : n’exécutez jamais de commandes dans le Terminal simplement parce qu’un site web le demande.
Aucun service légitime ne nécessite que les utilisateurs exécutent des commandes dans le Terminal pour valider des CAPTCHAs, corriger des problèmes de navigateur ou finaliser des vérifications de sécurité.
Dès qu’une instruction de ce type apparaît, la meilleure option est de fermer immédiatement la page. La règle est simple : si vous ne comprenez pas exactement ce que fait une commande, ne l’exécutez pas.