Une nouvelle campagne pour les utilisateurs de macOS s'est une fois de plus concentrée sur une technique d'ingénierie sociale qui exploite une application de confiance du système: le script de l'éditeur. Les chercheurs en sécurité ont observé que les attaquants utilisent des pages Web ayant une apparence légitime - habituellement des guides pour libérer de l'espace disque ou améliorer les performances de Mac - pour inciter le navigateur à ouvrir des liens spéciaux qui libèrent Script Editor avec le code déjà inséré. Le résultat: l'utilisateur voit une fenêtre d'une application native apparemment inoffensive, mais derrière elle est l'exécution de commandes qui téléchargent et libèrent des logiciels malveillants sans passer par un Terminal explicite.
Script Editor est un outil préinstallé dans macOS conçu pour créer et exécuter AppleScript et JXA et jouit donc des privilèges et de la confiance du système. Cette confiance est précisément ce que les attaquants profitent de: au lieu de demander à l'utilisateur de copier et coller des lignes dans Terminal - la tactique classique connue sous le nom ClickFix - maintenant le schéma URL AppleScript est utilisé pour ouvrir Editor Script avec un script malveillant déjà chargé. Lorsque vous acceptez l'ouverture, le code peut exécuter une chaîne ovale "curl-124; zsh" qui télécharge et exécute des scripts directement en mémoire, découple les charges utiles compressées, écrit des binaires temporaires, élimine les attributs de sécurité avec xattr et démarre l'exécutable final.
Dans cette campagne particulière les chercheurs de Jambe Ils ont identifié comme charge utile finale un binaire Mach-O connu sous le nom de Atomic Stealer (également appelé AMOS), un malware de la coque qui est apparu à plusieurs reprises dans les campagnes de type ClickFix au cours de la dernière année. Atomic Stealer est conçu pour extraire des informations sensibles du système: les données stockées dans la lavero (Keychain), le contenu de bureau, les extensions de porte-monnaie cryptomoneda dans le navigateur, auto-complété, mots de passe, cookies, cartes sauvegardées et autres informations système. Des rapports récents indiquent également que les exploitants ont ajouté des éléments de porte arrière pour maintenir l'accès persistant à l'équipement engagé.
La subtilité de la variation actuelle est que l'utilisateur n'a pas nécessairement à interagir avec Terminal pour faire fonctionner l'attaque: Script Editor, par sa nature même, peut servir de vecteur d'exécution lorsqu'il est fourni avec du code à partir d'une URL. Ainsi, certaines mesures ajoutées par Apple dans les versions récentes de macOS cherchent à arrêter ces illusions en montrant des avertissements lors de l'exécution de commandes de Terminal ou d'applications connexes ; bien que ces protections aident, ils ne éliminent pas complètement le risque si la victime accorde la permission ou confirme l'ouverture d'un script en se fiant au contenu de la page.
Si vous recevez un guide de maintenance en ligne qui vous invite à lancer une commande ou à ouvrir un script, la traiter avec suspicion. Les pages malicieuses imitent souvent l'esthétique et le langage des ressources d'aide légitimes pour baisser la garde : iconographie Apple, captures d'écran et étapes apparemment raisonnables. La recommandation générale est d'aller seulement à la documentation officielle pour les problèmes de système; le site de support Apple sur Script Editor peut vous aider à comprendre le but réel de cet outil: support.apple.com - Éditeur de scripts. Pour les consultations et les solutions utilisateur-utilisateur, la communauté officielle Apple existe également, mais il convient de rappeler que les forums ne sont pas sans risque: Communautés de soutien Apple.
Dans les environnements d'entreprise et de gestion, l'utilisation de solutions de gestion et de protection des paramètres réduit la probabilité d'infection et facilite la détection de comportements anormaux; pour les utilisateurs domestiques, garder le système à jour et méfiant « tours rapides » pour récupérer de l'espace ou accélérer l'équipement est la défense la plus efficace. De plus, si vous soupçonnez que votre équipe a été compromise, vous devriez le déconnecter des réseaux, examiner les processus avec le moniteur d'activité et demander l'aide de professionnels ou d'outils de sécurité pour l'analyse et le nettoyage médico-légals.
La réutilisation des applications légitimes par les attaquants n'est pas une nouveauté, mais un rappel que la surface de l'attaque change avec la créativité des cybercriminels. Traiter les avis d'éditeur de script comme potentiellement dangereux et vérifier l'origine de toute instruction technique C'est pour l'instant la solution la plus pratique pour ne pas tomber dans ces pièges.
Pour élargir l'information sur la façon dont Apple et la communauté de la sécurité répondent à ces variantes et campagnes ClickFix avec des info-stealers, des rapports de recherche et de nouvelles récents peuvent être consultés; une couverture qui synthétise l'introduction d'avertissements par Apple peut être lue en Calculateur, et l'analyse technique de la campagne avec Atomic Stealer a été publiée par Jambe.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...