La sécurité des systèmes macOS est constamment mise à l’épreuve. Récemment, Apple a introduit une fonctionnalité précieuse : un avertissement dans Terminal avertissant les utilisateurs de l’exécution de commandes potentiellement malveillantes. Cette mesure, intégrée dans macOS Tahoe 26.4, vise à diminuer les attaques ClickFix, qui se sont imposées comme l’un des principaux vecteurs de distribution de malware sur Mac.
Une réponse proactive d’Apple face aux menaces
Cette initiative d’Apple a suscité un certain enthousiasme parmi les utilisateurs, mais les auteurs de malware semblent déjà chercher des solutions de contournement. Les logiciels malveillants tels que les infostealers ou trojans comme Atomic Stealer, continuent de proliférer malgré ces nouvelles protections.
L’attaque ClickFix, bien que largement associée à des logiciels malveillants, est en réalité une technique de livraison qui tire parti de l’ingénierie sociale. En trompant les utilisateurs pour qu’ils collent du code malveillant dans Terminal, ces attaques ont trouvé un terrain fertile parmi les utilisateurs peu méfiants.
Avec la montée en puissance de cette technique, la mise à jour de sécurité de 2025, apportée par macOS Sequoia, avait pour objectif de compliquer la tâche des malfaiteurs. En empêchant les utilisateurs de contourner Gatekeeper, Apple a ajouté des étapes de sécurité supplémentaires, rendant les méthodes d’exécution de programmes non signés plus difficiles.
Une nouvelle approche des attaques ClickFix
Cependant, les chercheurs de Jamf Threat Labs ont récemment mis en lumière un variant de ClickFix qui évite complètement les protections de Terminal. Au lieu de diriger les utilisateurs vers ce dernier, les malfaiteurs utilisent désormais des pages web trompeuses, comme un faux site Apple prétextant aider à récupérer de l’espace disque sur Mac.
Sur ces pages, un bouton « Exécuter » déclenche un script Apple via un schéma URL applescript://, ce qui invite l’utilisateur à ouvrir Script Editor avec un script déjà prérempli. Une fois validé, le script s’exécute sans que l’utilisateur n’ait à passer par Terminal.
Cette méthode astucieuse permet d’éviter le nouveau système d’avertissement dans macOS Tahoe 26.4. Bien que Script Editor affiche un prompt pour avertir l’utilisateur d’un développeur non identifié, passer outre cette étape permet au maliciel de s’introduire dans le système. Au final, il télécharge un appel curl obfusqué et installe rapidement le dernier variant de logiciels malveillants.
Cette lutte incessante entre Apple et les créateurs de malwares souligne l’importance d’une vigilance continue et de la mise à jour régulière des systèmes. Les utilisateurs doivent rester informés et prudents face à ces menaces qui poursuivent leur évolution.