📰 Source : Hackread.com — Date de publication : 25 mai 2026

Le site de vente en ligne BasedApparel.com, co-créé par le directeur du FBI Kash Patel et Andrew Ollis, a été compromis par des acteurs inconnus pour distribuer un infostealer ciblant macOS via une technique d’ingénierie sociale connue sous le nom de ClickFix.

🎯 Mécanisme de l’attaque

Lors de la visite du site, les utilisateurs étaient redirigés vers une fausse page de vérification imitant Cloudflare (faux CAPTCHA « Verify you are human »). La page affichait un avertissement de trafic inhabituel et demandait à l’utilisateur de :

  • Ouvrir le Terminal macOS
  • Cliquer sur un bouton « Copy » (prétendument pour copier « I am not a robot »)
  • Coller et exécuter le contenu dans le Terminal

Le bouton copiait en réalité un texte obfusqué qui, une fois exécuté, lançait un shell script se connectant à un domaine C2 contrôlé par les attaquants. Le script était conçu pour drainer des actifs crypto, voler des tokens de session et des données de navigation.

🔍 Découverte et réponse

L’attaque a été détectée pour la première fois par un utilisateur basé au Portugal un jeudi. Des chercheurs ont reproduit l’attaque sur un MacBook via Chrome. Le site a été mis hors ligne le vendredi suivant, affichant un message de maintenance. Au moment de la rédaction, le site était de nouveau en ligne avec un message « We’ll Be Right Back ».

📊 Contexte et portée

Selon Ahrefs, le site génère environ 33 600 visites mensuelles. Il n’est pas confirmé que des visiteurs aient perdu des données. Kash Patel avait déjà été mentionné dans un incident cybersécurité le mois précédent, lorsque le groupe Handala (lié à l’Iran) avait compromis son compte Gmail personnel.

📌 Type d’article : Annonce d’incident — but principal : informer sur la compromission d’un site à forte visibilité publique via une technique ClickFix ciblant macOS.

🧠 TTPs et IOCs détectés

TTP

  • T1566 — Phishing (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1496 — Resource Hijacking (Impact)

IOC

Malware / Outils

  • Infostealer (macOS) (stealer)

🟡 Indice de vérification factuelle : 54/100 (moyenne)

  • ⬜ hackread.com — source non référencée (0pts)
  • ✅ 6337 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ✅ 1/1 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • basedapparel.com (domain) → VT (11/91 détections)

🔗 Source originale : https://hackread.com/fbi-chief-kash-patel-store-hacked-infostealer-clickfix/