🔍 Contexte

Publié le 31 mars 2026 sur le blog Objective-See par Patrick Wardle, cet article constitue une analyse technique approfondie de l’implémentation des protections anti-ClickFix intégrées nativement dans macOS 26.4 par Apple, ainsi que de leur relation avec le framework Endpoint Security (ES).

🎯 La technique ClickFix

ClickFix est une technique d’infection largement adoptée ciblant macOS et Windows. Elle repose sur la manipulation sociale : convaincre un utilisateur de copier-coller une commande malveillante dans un terminal. Cette technique permet de contourner des protections OS comme Gatekeeper et Notarization sur macOS. Elle est désormais utilisée aussi bien par des cybercriminels opportunistes que par des acteurs plus sophistiqués.

🛠️ Implémentation dans BlockBlock

Avant l’ajout de la protection native dans macOS 26.4, Patrick Wardle avait déjà intégré une protection ClickFix dans son outil BlockBlock (open-source), en utilisant la méthode addGlobalMonitorForEventsMatchingMask:handler: de la classe NSEvent pour détecter la combinaison ⌘+V. Cette protection a permis de détecter des attaques récentes, notamment le malware Infiniti Stealer.

🔬 Découverte des événements ES non documentés

Suite à un signalement de Koh Nakagawa, la chaîne es_event_paste_t a été trouvée dans le binaire /usr/libexec/xprotectd dès macOS 26.3. L’analyse par débogage (avec SIP et AMFI désactivés en VM) du démon xprotectd révèle que celui-ci s’abonne à deux événements ES non documentés :

  • ES_EVENT_TYPE_RESERVED_0 (type = 148)
  • ES_EVENT_TYPE_RESERVED_1 (type = 149)

Ces événements sont inaccessibles aux clients ES tiers : toute tentative de souscription échoue avec result=1.

🔐 Détails techniques

  • Le démon xprotectd est géré par le LaunchDaemon com.apple.security.xprotectd.plist
  • La protection ClickFix n’est active que si SIP est activé (vérification via _csr_check(2) au démarrage)
  • La fonction de callback ES est localisée à l’adresse 0x000000010001ec94 dans xprotectd
  • Les strings liées à la protection dans xprotectd incluent : PasteContent, PasteEvent, PasteBlockAlertDisplayer, com.apple.XProtect.PasteProtection
  • La protection est réservée à Apple : les outils tiers ne peuvent pas souscrire aux mêmes événements ES

📌 Type d’article

Il s’agit d’une analyse technique de rétro-ingénierie dont le but est de comprendre l’implémentation interne des protections ClickFix d’Apple dans macOS 26.4 et d’évaluer si des outils tiers peuvent exploiter les mêmes mécanismes ES.

🧠 TTPs et IOCs détectés

TTP

  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)

IOC

  • Fichiers : xprotectd
  • Chemins : /usr/libexec/xprotectd
  • Chemins : /System/Library/LaunchDaemons/com.apple.security.xprotectd.plist

Malware / Outils

  • Infiniti Stealer (stealer)
  • BlockBlock (tool)

🔗 Source originale : https://objective-see.org/blog/blog_0x87.html