Microsoft : déploiement de ClickFix, une fausse page de dépannage de macOS, pour voler les clés de portefeuilles crypto

Le 11 mai, Cryptopolitan a rapporté que l’équipe de recherche sécurité de Microsoft Defender a publié les résultats d’une enquête, révélant que des attaquants publiaient, à partir de la fin de 2025, sur des plateformes comme Medium et Craft de fausses guides de dépannage macOS, afin d’inciter les utilisateurs à exécuter des commandes malveillantes dans le terminal, entraînant l’installation de logiciels malveillants capables de voler des clés de portefeuilles cryptographiques, des données iCloud et des mots de passe enregistrés dans les navigateurs.

Mécanisme d’attaque : ClickFix contourne Gatekeeper sur macOS

D’après le rapport de l’équipe de recherche sécurité de Microsoft Defender, les attaquants utilisent une technique d’ingénierie sociale appelée ClickFix : publier sur Medium, Craft et Squarespace des guides de dépannage macOS se faisant passer pour des procédures permettant de libérer de l’espace disque ou de corriger des erreurs système, afin d’amener les utilisateurs à copier des commandes malveillantes et à les coller dans le Terminal macOS ; une fois la commande exécutée, le logiciel malveillant est alors téléchargé et lancé automatiquement.

D’après le rapport de Microsoft, cette méthode contourne le mécanisme de sécurité macOS Gatekeeper, car Gatekeeper vérifie les signatures de code et effectue des validations notariales pour l’exécution d’applications ouvertes via Finder, mais l’exécution de commandes directement dans le Terminal par l’utilisateur n’est pas soumise à cette étape de vérification. Les chercheurs ont également constaté que les attaquants exploitent curl, osascript et d’autres outils natifs de macOS pour exécuter du code malveillant directement en mémoire (attaque sans fichiers), rendant la détection plus difficile pour les outils antivirus standards.

Familles de logiciels malveillants, périmètre de vol et mécanismes spécifiques

D’après le rapport de Microsoft, cette activité d’attaque implique trois familles de logiciels malveillants (AMOS, Macsync, SHub Stealer) et trois types de programmes d’installation (Loader, Script, Helper), et vise des données telles que :

Clés de portefeuilles cryptographiques : Exodus, Ledger, Trezor

Identifiants de compte : iCloud, Telegram

Mots de passe enregistrés dans le navigateur : Chrome, Firefox

Fichiers privés et photos : des fichiers locaux de moins de 2 MB

Après l’installation, le logiciel malveillant affiche de fausses boîtes de dialogue, demandant à l’utilisateur de saisir le mot de passe système afin d’installer un « outil auxiliaire » ; si l’utilisateur saisit le mot de passe, l’attaquant obtient alors l’accès complet aux fichiers et aux paramètres du système. Le rapport de Microsoft précise en outre qu’à certaines occasions, l’attaquant supprime les applications légitimes Trezor Suite, Ledger Wallet et Exodus, puis les remplace par des versions implantant des chevaux de Troie afin de surveiller les transactions et de voler les fonds. De plus, les programmes chargés par le logiciel malveillant incluent un commutateur d’arrêt : s’il détecte une disposition de clavier en russe, le logiciel malveillant s’arrête automatiquement.

Activités d’attaque associées et mesures de protection d’Apple

D’après l’enquête menée par des chercheurs de ANY.RUN, le groupe Lazarus a lancé une campagne de pirates baptisée « Mach-O Man », qui utilise des techniques similaires à ClickFix, en visant principalement des entreprises de technologie financière et de cryptomonnaies utilisant macOS comme système d’exploitation, via des attaques par fausses invitations à des réunions.

Cryptopolitan a également rapporté que le groupe de hackers nord-coréen Famous Chollima utilise l’IA pour générer du code, en injectant des paquets npm malveillants dans des projets de transactions de cryptomonnaies ; le logiciel malveillant adopte une architecture d’obfuscation en deux couches, volant des données de portefeuilles et des informations confidentielles du système.

D’après un rapport, Apple a ajouté, dans macOS 26.4, un mécanisme de protection permettant d’empêcher le collage dans le Terminal macOS de commandes identifiées comme potentiellement malveillantes.

Questions fréquentes

À partir de quand l’activité d’attaque ClickFix sur macOS révélée par Microsoft Defender a-t-elle commencé, et sur quelles plateformes a-t-elle été publiée ?

D’après les rapports de l’équipe de recherche sécurité de Microsoft Defender et de Cryptopolitan du 11 mai 2026, l’activité d’attaque s’est activée à partir de la fin de 2025 ; les attaquants ont publié de fausses guides de dépannage macOS sur Medium, Craft et Squarespace, incitant les utilisateurs de Mac à exécuter des commandes Terminal malveillantes.

Cette activité d’attaque vise quels portefeuilles cryptographiques et quels types de données ?

D’après le rapport de Microsoft Defender, un logiciel malveillant (AMOS, Macsync, SHub Stealer) peut voler des clés de portefeuilles Exodus, Ledger et Trezor, des données de comptes iCloud et Telegram, ainsi que des noms d’utilisateur et des mots de passe enregistrés dans Chrome et Firefox.

Quelles mesures de protection Apple a-t-elle déployées contre ce type d’attaque ?

D’après le rapport, Apple a ajouté, dans macOS 26.4, un mécanisme de protection visant à empêcher le collage dans le Terminal macOS de commandes identifiées comme potentiellement malveillantes, afin de réduire le taux de réussite des attaques d’ingénierie sociale de type ClickFix.