Campagne ClickFix macOS : trois vagues d'infostealers via fausses commandes Terminal

🔍 Contexte

Publié le 6 mai 2026 par la Microsoft Defender Security Research Team, cet article documente l’évolution d’une campagne ClickFix ciblant les utilisateurs macOS, active depuis fin janvier 2026. La campagne exploite des plateformes de contenu légitimes (Medium, Craft, Squarespace) pour héberger de fausses instructions de dépannage.

🎯 Mécanisme d’infection

Les victimes sont incitées à copier-coller des commandes Terminal encodées en Base64 présentées comme des utilitaires système. Contrairement aux bundles applicatifs soumis à Gatekeeper, les scripts exécutés via Terminal échappent aux vérifications de signature et de notarisation Apple.

Trois vecteurs d’infection distincts ont été identifiés :

Loader campaign (depuis février 2026) : téléchargement d’un loader shell via curl, exécution d’un payload AppleScript en mémoire, kill switch CIS/russe
Script campaign (avril 2026) : script obfusqué streamé directement dans le shell, découverte de C2 dynamique via Telegram (t.me/ax03bot), exécution en mémoire via osascript
Helper campaign (depuis fin janvier 2026) : exécutable Mach-O (helper ou update) déposé dans /tmp/, détection de virtualisation (QEMU, VMware, KVM)

🦠 Payloads et capacités

Les trois campagnes déploient des infostealers aux capacités similaires :

Vol de credentials navigateurs (Chromium), Keychain macOS, données iCloud
Exfiltration de fichiers (txt, pdf, docx, wallet, kdbx, seed, etc.)
Vol de wallets crypto : Electrum, Exodus, Ledger, Trezor, Atomic, MetaMask, Phantom, etc.
Trojanisation des apps Ledger Wallet, Trezor Suite et Exodus par des versions contrôlées par l’attaquant
Collecte de données Telegram

🔒 Persistance et C2

Loader campaign : LaunchAgent com.google.keystone.agent.plist masqué en Google Update, backdoor avec heartbeat vers C2
Script campaign : plist com.<random>.plist dans LaunchAgents, C2 dynamique avec fallback Telegram
Helper campaign : LaunchDaemon com.finder.helper.plist avec privilèges root, backdoor .mainhelper + wrapper .agent, C2 sur 45.94.47.204

📊 Type d’article

Publication de recherche technique détaillée avec IoCs, requêtes de chasse (KQL), détections Microsoft Defender et analyse MITRE ATT&CK. But principal : documenter la menace et fournir des éléments de détection exploitables.

🧠 TTPs et IOCs détectés

TTP

T1204.002 — User Execution: Malicious File (Execution)
T1059.002 — Command and Scripting Interpreter: AppleScript (Execution)
T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
T1027 — Obfuscated Files or Information (Defense Evasion)
T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
T1543.004 — Create or Modify System Process: Launch Daemon (Persistence)
T1543.001 — Create or Modify System Process: Launch Agent (Persistence)
T1555.001 — Credentials from Password Stores: Keychain (Credential Access)
T1539 — Steal Web Session Cookie (Credential Access)
T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
T1041 — Exfiltration Over C2 Channel (Exfiltration)
T1020 — Automated Exfiltration (Exfiltration)
T1005 — Data from Local System (Collection)
T1074.001 — Data Staged: Local Data Staging (Collection)
T1560.001 — Archive Collected Data: Archive via Utility (Collection)
T1102 — Web Service (Command and Control)
T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
T1568 — Dynamic Resolution (Command and Control)
T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
T1176 — Browser Extensions (Persistence)
T1608.004 — Stage Capabilities: Drive-by Target (Resource Development)
T1189 — Drive-by Compromise (Initial Access)

IOC

IPv4 : 45.94.47.204 — AbuseIPDB · VT · ThreatFox
IPv4 : 95.85.251.177 — AbuseIPDB · VT · ThreatFox
IPv4 : 138.124.93.32 — AbuseIPDB · VT · ThreatFox
IPv4 : 168.100.9.122 — AbuseIPDB · VT · ThreatFox
IPv4 : 199.217.98.33 — AbuseIPDB · VT · ThreatFox
IPv4 : 38.244.158.103 — AbuseIPDB · VT · ThreatFox
IPv4 : 38.244.158.56 — AbuseIPDB · VT · ThreatFox
IPv4 : 92.246.136.14 — AbuseIPDB · VT · ThreatFox
Domaines : cleanmymacos.org — VT · URLhaus · ThreatFox
Domaines : domenpozh.net — VT · URLhaus · ThreatFox
Domaines : rapidfilevault4.sbs — VT · URLhaus · ThreatFox
Domaines : coco-fun2.com — VT · URLhaus · ThreatFox
Domaines : nitlebuf.com — VT · URLhaus · ThreatFox
Domaines : yablochnisok.com — VT · URLhaus · ThreatFox
Domaines : mentaorb.com — VT · URLhaus · ThreatFox
Domaines : seagalnssteavens.com — VT · URLhaus · ThreatFox
Domaines : res2erch-sl0ut.com — VT · URLhaus · ThreatFox
Domaines : filefastdata.com — VT · URLhaus · ThreatFox
Domaines : metramon.com — VT · URLhaus · ThreatFox
Domaines : octopixeldate.com — VT · URLhaus · ThreatFox
Domaines : pewweepor092.com — VT · URLhaus · ThreatFox
Domaines : bulletproofdomai2n.com — VT · URLhaus · ThreatFox
Domaines : benefasts-fhgs2.com — VT · URLhaus · ThreatFox
Domaines : repqoow77wiqi.com — VT · URLhaus · ThreatFox
Domaines : do2wers.com — VT · URLhaus · ThreatFox
Domaines : rapidfilevault4.cyou — VT · URLhaus · ThreatFox
Domaines : reews09weersus.com — VT · URLhaus · ThreatFox
Domaines : pepepupuchek13.com — VT · URLhaus · ThreatFox
Domaines : pewqpeee888.com — VT · URLhaus · ThreatFox
Domaines : wewannaliveinpicede.com — VT · URLhaus · ThreatFox
Domaines : datasphere.us.com — VT · URLhaus · ThreatFox
Domaines : rapidfilevault5.sbs — VT · URLhaus · ThreatFox
Domaines : coco2-hram.com — VT · URLhaus · ThreatFox
Domaines : poeooeowwo777.com — VT · URLhaus · ThreatFox
Domaines : korovkamu.com — VT · URLhaus · ThreatFox
Domaines : metrikcs.com — VT · URLhaus · ThreatFox
Domaines : metlafounder.com — VT · URLhaus · ThreatFox
Domaines : terafolt.com — VT · URLhaus · ThreatFox
Domaines : haploadpin.com — VT · URLhaus · ThreatFox
Domaines : rawmrk.com — VT · URLhaus · ThreatFox
Domaines : mikulatur.com — VT · URLhaus · ThreatFox
Domaines : milbiorb.com — VT · URLhaus · ThreatFox
Domaines : doqeers.com — VT · URLhaus · ThreatFox
Domaines : we2luck.com — VT · URLhaus · ThreatFox
Domaines : quantumdataserver5.homes — VT · URLhaus · ThreatFox
Domaines : bintail.com — VT · URLhaus · ThreatFox
Domaines : molokotarelka.com — VT · URLhaus · ThreatFox
Domaines : trehlub.com — VT · URLhaus · ThreatFox
Domaines : avafex.com — VT · URLhaus · ThreatFox
Domaines : rhymbil.com — VT · URLhaus · ThreatFox
Domaines : boso6ka.com — VT · URLhaus · ThreatFox
Domaines : res2erch-sl2ut.com — VT · URLhaus · ThreatFox
Domaines : pilautfile.com — VT · URLhaus · ThreatFox
Domaines : bigbossbro777.com — VT · URLhaus · ThreatFox
Domaines : miappl.com — VT · URLhaus · ThreatFox
Domaines : peloetwq71.com — VT · URLhaus · ThreatFox
Domaines : fastfilenext.com — VT · URLhaus · ThreatFox
Domaines : beransraol.com — VT · URLhaus · ThreatFox
Domaines : pelorso90la.com — VT · URLhaus · ThreatFox
Domaines : medoviypirog.com — VT · URLhaus · ThreatFox
Domaines : wewannaliveinpice.com — VT · URLhaus · ThreatFox
Domaines : malkim.com — VT · URLhaus · ThreatFox
Domaines : pipipoopochek6.com — VT · URLhaus · ThreatFox
Domaines : hello-brothers777.com — VT · URLhaus · ThreatFox
Domaines : dialerformac.com — VT · URLhaus · ThreatFox
Domaines : persaniusdimonica8.com — VT · URLhaus · ThreatFox
Domaines : hilofet.com — VT · URLhaus · ThreatFox
Domaines : tmcnex.com — VT · URLhaus · ThreatFox
Domaines : nibelined.com — VT · URLhaus · ThreatFox
Domaines : pissispissman.com — VT · URLhaus · ThreatFox
Domaines : bankafolder.com — VT · URLhaus · ThreatFox
Domaines : perewoisbb0.com — VT · URLhaus · ThreatFox
Domaines : us41web.live — VT · URLhaus · ThreatFox
Domaines : uk176video.live — VT · URLhaus · ThreatFox
Domaines : jihiz.com — VT · URLhaus · ThreatFox
Domaines : beltoxer.com — VT · URLhaus · ThreatFox
Domaines : swift-sh.com — VT · URLhaus · ThreatFox
Domaines : hitkrul.com — VT · URLhaus · ThreatFox
Domaines : kofeynayagush.com — VT · URLhaus · ThreatFox
Domaines : 0x666.info — VT · URLhaus · ThreatFox
Domaines : honestly.ink — VT · URLhaus · ThreatFox
Domaines : pla7ina.cfd — VT · URLhaus · ThreatFox
Domaines : play67.cc — VT · URLhaus · ThreatFox
Domaines : rvdownloads.com — VT · URLhaus · ThreatFox
Domaines : famiode.com — VT · URLhaus · ThreatFox
Domaines : contatoplus.com — VT · URLhaus · ThreatFox
Domaines : woupp.com — VT · URLhaus · ThreatFox
Domaines : saramoftah.com — VT · URLhaus · ThreatFox
Domaines : ptrei.com — VT · URLhaus · ThreatFox
Domaines : wriconsult.com — VT · URLhaus · ThreatFox
Domaines : kayeart.com — VT · URLhaus · ThreatFox
Domaines : ejecen.com — VT · URLhaus · ThreatFox
Domaines : stinarosen.com — VT · URLhaus · ThreatFox
Domaines : biopranica.com — VT · URLhaus · ThreatFox
Domaines : raxelpak.com — VT · URLhaus · ThreatFox
Domaines : octopox.com — VT · URLhaus · ThreatFox
Domaines : boosterjuices.com — VT · URLhaus · ThreatFox
Domaines : ftduk.com — VT · URLhaus · ThreatFox
Domaines : dryvecar.com — VT · URLhaus · ThreatFox
Domaines : vcopp.com — VT · URLhaus · ThreatFox
Domaines : kcbps.com — VT · URLhaus · ThreatFox
Domaines : jpbassin.com — VT · URLhaus · ThreatFox
Domaines : isgilan.com — VT · URLhaus · ThreatFox
Domaines : arkypc.com — VT · URLhaus · ThreatFox
Domaines : hacelu.com — VT · URLhaus · ThreatFox
Domaines : stclegion.com — VT · URLhaus · ThreatFox
Domaines : xeebii.com — VT · URLhaus · ThreatFox
Domaines : avipstudios.com — VT · URLhaus · ThreatFox
Domaines : joytion.com — VT · URLhaus · ThreatFox
Domaines : laislivon.com — VT · URLhaus · ThreatFox
Domaines : mpasvw.com — VT · URLhaus · ThreatFox
Domaines : lakhov.com — VT · URLhaus · ThreatFox
Domaines : reachnv.com — VT · URLhaus · ThreatFox
Domaines : vagturk.com — VT · URLhaus · ThreatFox
Domaines : futampako.com — VT · URLhaus · ThreatFox
Domaines : lbarticle.com — VT · URLhaus · ThreatFox
Domaines : raytherrien.com — VT · URLhaus · ThreatFox
Domaines : joeyapple.com — VT · URLhaus · ThreatFox
Domaines : wusetail.com — VT · URLhaus · ThreatFox
Domaines : aforvm.com — VT · URLhaus · ThreatFox
Domaines : ouilov.com — VT · URLhaus · ThreatFox
Domaines : malext.com — VT · URLhaus · ThreatFox
Domaines : rebidy.com — VT · URLhaus · ThreatFox
Domaines : cauterizespray.icu — VT · URLhaus · ThreatFox
Domaines : enslaveculprit.digital — VT · URLhaus · ThreatFox
Domaines : resilientlimb.icu — VT · URLhaus · ThreatFox
Domaines : thickentributary.digital — VT · URLhaus · ThreatFox
Domaines : paralegalmustang.icu — VT · URLhaus · ThreatFox
Domaines : round5on.digital — VT · URLhaus · ThreatFox
Domaines : degassing-mould.digital — VT · URLhaus · ThreatFox
Domaines : apexharvestor.digital — VT · URLhaus · ThreatFox
URLs : https://cauterizespray.icu/script.sh — URLhaus
URLs : https://enslaveculprit.digital/script.sh — URLhaus
URLs : https://resilientlimb.icu/script.sh — URLhaus
URLs : https://thickentributary.digital/script.sh — URLhaus
URLs : http://paralegalmustang.icu/script.sh — URLhaus
URLs : https://round5on.digital/script.sh — URLhaus
URLs : https://t.me/ax03bot — URLhaus
URLs : http://138.124.93.32/contact — URLhaus
URLs : http://168.100.9.122/contact — URLhaus
URLs : http://199.217.98.33/contact — URLhaus
URLs : http://38.244.158.103/contact — URLhaus
URLs : http://38.244.158.56/contact — URLhaus
URLs : http://92.246.136.14/contact — URLhaus
URLs : https://avipstudios.com/contact — URLhaus
URLs : https://joytion.com/contact — URLhaus
URLs : https://laislivon.com/contact — URLhaus
URLs : https://mpasvw.com/contact — URLhaus
URLs : https://lakhov.com/contact — URLhaus
URLs : http://45.94.47.204/api/ — URLhaus
SHA256 : 9d2da07aa6e7db3fbc36b36f0cfd74f78d5815f5ba55d0f0405cdd6868bd13767 — VT · MalwareBazaar
SHA256 : 7ca42f1f23dbdc9427c9f135815bb74708a7494ea78df1fbc0fc348ba2a161ae — VT · MalwareBazaar
SHA256 : 241a50befcf5c1aa6dab79664e2ba9cb373cc351cb9de9c3699fd2ecb2afab05 — VT · MalwareBazaar
SHA256 : 522fdfaff44797b9180f36c654f77baf5cdeaab861bbf372ccfc1a5bd920d62e — VT · MalwareBazaar
Fichiers : helper
Fichiers : update
Fichiers : .mainhelper
Fichiers : .agent
Fichiers : GoogleUpdate
Fichiers : loader.sh
Fichiers : script.sh
Fichiers : out.zip
Chemins : /tmp/helper
Chemins : /tmp/update
Chemins : /tmp/starter
Chemins : /tmp/shub_<random ID>/
Chemins : /tmp/out.zip
Chemins : ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/GoogleUpdate
Chemins : ~/LaunchAgents/com.google.keystone.agent.plist
Chemins : /Library/LaunchDaemons/com.finder.helper.plist

Malware / Outils

SHub Stealer (stealer)
AMOS (stealer)
Macsync (stealer)
MacSync Stealer (stealer)
.mainhelper (backdoor)
GoogleUpdate (backdoor)

🟢 Indice de vérification factuelle : 90/100 (haute)

✅ microsoft.com — source reconnue (liste interne) (20pts)
✅ 40139 chars — texte complet (fulltext extrait) (15pts)
✅ 170 IOCs dont des hashes (15pts)
✅ 7/12 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
✅ 24 TTPs MITRE identifiées (15pts)
✅ date extraite du HTML source (10pts)
⬜ aucun acteur de menace nommé (0pts)
⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

45.94.47.204 (ip) → VT (17/92 détections)
95.85.251.177 (ip) → VT (4/92 détections)
7ca42f1f23dbdc94… (sha256) → VT (29/75 détections)
241a50befcf5c1aa… (sha256) → VT (20/76 détections)
cleanmymacos.org (domain) → VT (18/92 détections)

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/05/06/clickfix-campaign-uses-fake-macos-utilities-lures-deliver-infostealers/

🔍 Contexte#

🎯 Mécanisme d’infection#

🦠 Payloads et capacités#

🔒 Persistance et C2#

📊 Type d’article#

🧠 TTPs et IOCs détectés#

TTP#

IOC#

Malware / Outils#

🟢 Indice de vérification factuelle : 90/100 (haute)#