macOS ClickFix : un RAT persistant et un stealer AppleScript ciblent Asie, Amérique du Nord et Océanie

🔍 Contexte

Netskope Threat Labs a publié le 17 juin 2026 une analyse technique d’une campagne ClickFix ciblant macOS, interceptée le 31 mai 2026. Cette campagne fait suite à une première vague signalée en avril 2026 et représente une évolution significative : elle intègre désormais un RAT (Remote Access Trojan) persistant en plus d’un infostealer AppleScript. L’attaquant est identifié comme russophone.

🎯 Ciblage et distribution

Victimes : principalement en Asie, Amérique du Nord et Océanie
Secteurs : technologie, médias, services aux entreprises
Infrastructure : 25 domaines leurres éphémères, tous proxifiés via Cloudflare, enregistrés avec le même email administrateur (dbc9a6801423efc7s@ghastlier[.]com)
Pages leurres : trois variantes — fausse page utilitaire macOS (“StellarScan Solutions”), fausse page GitHub, page de support IT localisée (Berlin)

⚙️ Chaîne d’infection (entièrement fileless)

Social engineering ClickFix : la victime est incitée à copier-coller une commande curl dans le Terminal
Stage 1 (loader zsh) : script gzip+base64 évalué en mémoire, effectue :
- Géofencing CIS : détecte le clavier russe via com.apple.HIToolbox.plist et quitte silencieusement
- Beacon de télémétrie vers le C2 (IP, locale, hostname, OS, hash de build)
- Récupération du payload AppleScript via curl pipé directement dans osascript (jamais écrit sur disque)
Stage 2 (“Meow DEBUG”) : payload AppleScript exécuté entièrement en mémoire

🦠 Capacités du payload Stage 2

Vol de credentials : fausse boîte de dialogue System Preferences, validation via dscl . authonly, jusqu’à 10 tentatives
Vol de données navigateurs : Chrome, Brave, Edge, Opera, Firefox, Safari, Arc, Vivaldi, Orion, Sidekick, Coccoc et autres (cookies, Login Data, Safe Storage keys)
Vol de wallets crypto : 25 wallets desktop (Exodus, Electrum, Atomic, Guarda, Coinomi, Sparrow, Wasabi, Bitcoin Core…) + plus de 100 extensions Chromium dont MetaMask
Vol de sessions : Telegram (tdata/), Discord (4 variantes), Steam
Grab de fichiers : ~/Desktop, ~/Documents (docx, wallet, key, json, rdp, png…)
Apple Notes : copie SQLite directe
Exfiltration : archive ZIP vers https://qwqerrqwr2145qw.com/gate avec clé API dédiée

💉 Injection de wallets desktop

Après exfiltration, le malware cible Exodus, Atomic Wallet, Ledger Wallet, Ledger Live, Trezor Suite :

Télécharge un app.asar trojanisé depuis le C2
Tue le processus (pkill -9), remplace le fichier, re-signe avec codesign -f -d -s - (signature ad-hoc valide, non bloquée par Gatekeeper)

🔁 Persistance et RAT

Avec mot de passe valide : LaunchDaemon dans /Library/LaunchDaemons/com.apple.accountsd.plist, binaire dans /Library/Application Support/.com.apple.accountsd/.service
Sans mot de passe : LaunchAgent dans ~/Library/LaunchAgents/com.apple.accountsd.plist
Heartbeat C2 toutes les 60 secondes : le C2 peut envoyer du code base64 exécuté via /tmp/.c.sh puis supprimé (exécution arbitraire persistante)

📄 Type d’article

Analyse technique approfondie publiée par Netskope Threat Labs, visant à documenter une campagne active, fournir des IOCs et décrire la chaîne d’infection complète pour les équipes de détection et réponse.

🧠 TTPs et IOCs détectés

TTP

T1566 — Phishing (Initial Access)
T1204.002 — User Execution: Malicious File (Execution)
T1059.002 — Command and Scripting Interpreter: AppleScript (Execution)
T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
T1027 — Obfuscated Files or Information (Defense Evasion)
T1620 — Reflective Code Loading (Defense Evasion)
T1553.002 — Subvert Trust Controls: Code Signing (Defense Evasion)
T1543.004 — Create or Modify System Process: Launch Daemon (Persistence)
T1547.011 — Boot or Logon Autostart Execution: Plist Modification (Persistence)
T1056.002 — Input Capture: GUI Input Capture (Collection)
T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
T1555 — Credentials from Password Stores (Credential Access)
T1539 — Steal Web Session Cookie (Credential Access)
T1005 — Data from Local System (Collection)
T1041 — Exfiltration Over C2 Channel (Exfiltration)
T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
T1105 — Ingress Tool Transfer (Command and Control)
T1036.004 — Masquerading: Masquerade Task or Service (Defense Evasion)
T1496 — Resource Hijacking (Impact)
T1657 — Financial Theft (Impact)

IOC

Domaines : filesapphirecanvas.sbs — VT · URLhaus · ThreatFox
Domaines : filemintcastle.sbs — VT · URLhaus · ThreatFox
Domaines : filecobaltharbor.sbs — VT · URLhaus · ThreatFox
Domaines : stellarnodegrid8.cyou — VT · URLhaus · ThreatFox
Domaines : filecopperforest.online — VT · URLhaus · ThreatFox
Domaines : filejadewallet.online — VT · URLhaus · ThreatFox
Domaines : cyberdriftmatrix8.cyou — VT · URLhaus · ThreatFox
Domaines : fileivoryharbor.cyou — VT · URLhaus · ThreatFox
Domaines : filesapphiretower.cyou — VT · URLhaus · ThreatFox
Domaines : cyberdriftmatrix9.cyou — VT · URLhaus · ThreatFox
Domaines : fileopalvoyage.cyou — VT · URLhaus · ThreatFox
Domaines : stellarnodegrid1.cyou — VT · URLhaus · ThreatFox
Domaines : tensorforgegrid1.lol — VT · URLhaus · ThreatFox
Domaines : tensorforgegrid3.lol — VT · URLhaus · ThreatFox
Domaines : tensorforgegrid4.lol — VT · URLhaus · ThreatFox
Domaines : tensorforgegrid5.lol — VT · URLhaus · ThreatFox
Domaines : meadowfileengine.com — VT · URLhaus · ThreatFox
Domaines : crystalfilehaven.com — VT · URLhaus · ThreatFox
Domaines : filesilverharbor.com — VT · URLhaus · ThreatFox
Domaines : filepearlsignal.com — VT · URLhaus · ThreatFox
Domaines : fileautumncastle.com — VT · URLhaus · ThreatFox
Domaines : filecedarcanvas.com — VT · URLhaus · ThreatFox
Domaines : fileprairiestudio.com — VT · URLhaus · ThreatFox
Domaines : pa2373.com — VT · URLhaus · ThreatFox
Domaines : qwqerrqwr2145qw.com — VT · URLhaus · ThreatFox
Domaines : scope-quest.com — VT · URLhaus · ThreatFox
Domaines : ghastlier.com — VT · URLhaus · ThreatFox
URLs : https://qwqerrqwr2145qw.com/api/debug/event — URLhaus
URLs : https://qwqerrqwr2145qw.com/debug/payload.applescript?build=3447ad192726ee391881be6e86c7eeab — URLhaus
URLs : https://qwqerrqwr2145qw.com/gate — URLhaus
URLs : https://qwqerrqwr2145qw.com/api/bot/heartbeat — URLhaus
SHA256 : 948be3ba885ea945acc4f42867be0298b5285ce245b6c787d56a3b798c40a236 — VT · MalwareBazaar
MD5 : 3447ad192726ee391881be6e86c7eeab — VT · MalwareBazaar
Emails : dbc9a6801423efc7s@ghastlier.com
Fichiers : page-loader.js
Fichiers : data.txt
Fichiers : app.asar
Fichiers : com.apple.accountsd.plist
Chemins : /tmp/.c.sh
Chemins : /tmp/shub_log.zip
Chemins : /Library/LaunchDaemons/com.apple.accountsd.plist
Chemins : /Library/Application Support/.com.apple.accountsd/.service
Chemins : ~/Library/LaunchAgents/com.apple.accountsd.plist
Chemins : ~/Library/Preferences/com.apple.HIToolbox.plist

Malware / Outils

Meow (DEBUG) (stealer)
ClickFix stager (loader)
AppleScript RAT (rat)

🟢 Indice de vérification factuelle : 70/100 (haute)

⬜ netskope.com — source non référencée (0pts)
✅ 21592 chars — texte complet (fulltext extrait) (15pts)
✅ 44 IOCs dont des hashes (15pts)
✅ 3/7 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
✅ 20 TTPs MITRE identifiées (15pts)
✅ date extraite du HTML source (10pts)
⬜ aucun acteur de menace nommé (0pts)
⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

filesapphirecanvas.sbs (domain) → VT (18/91 détections)
filemintcastle.sbs (domain) → VT (19/91 détections)
filecobaltharbor.sbs (domain) → VT (15/91 détections)

🔗 Source originale : https://www.netskope.com/blog/macos-clickfix-lures-deploy-applescript-stealer-persistent-rat

🔍 Contexte#

🎯 Ciblage et distribution#

⚙️ Chaîne d’infection (entièrement fileless)#

🦠 Capacités du payload Stage 2#

💉 Injection de wallets desktop#

🔁 Persistance et RAT#

📄 Type d’article#

🧠 TTPs et IOCs détectés#

TTP#

IOC#

Malware / Outils#

🟢 Indice de vérification factuelle : 70/100 (haute)#