macOS ClickFix : un RAT persistant et un stealer AppleScript ciblent Asie, Amérique du Nord et Océanie
🔍 Contexte Netskope Threat Labs a publié le 17 juin 2026 une analyse technique d’une campagne ClickFix ciblant macOS, interceptée le 31 mai 2026. Cette campagne fait suite à une première vague signalée en avril 2026 et représente une évolution significative : elle intègre désormais un RAT (Remote Access Trojan) persistant en plus d’un infostealer AppleScript. L’attaquant est identifié comme russophone. 🎯 Ciblage et distribution Victimes : principalement en Asie, Amérique du Nord et Océanie Secteurs : technologie, médias, services aux entreprises Infrastructure : 25 domaines leurres éphémères, tous proxifiés via Cloudflare, enregistrés avec le même email administrateur (dbc9a6801423efc7s@ghastlier[.]com) Pages leurres : trois variantes — fausse page utilitaire macOS (“StellarScan Solutions”), fausse page GitHub, page de support IT localisée (Berlin) ⚙️ Chaîne d’infection (entièrement fileless) Social engineering ClickFix : la victime est incitée à copier-coller une commande curl dans le Terminal Stage 1 (loader zsh) : script gzip+base64 évalué en mémoire, effectue : Géofencing CIS : détecte le clavier russe via com.apple.HIToolbox.plist et quitte silencieusement Beacon de télémétrie vers le C2 (IP, locale, hostname, OS, hash de build) Récupération du payload AppleScript via curl pipé directement dans osascript (jamais écrit sur disque) Stage 2 (“Meow DEBUG”) : payload AppleScript exécuté entièrement en mémoire 🦠 Capacités du payload Stage 2 Vol de credentials : fausse boîte de dialogue System Preferences, validation via dscl . authonly, jusqu’à 10 tentatives Vol de données navigateurs : Chrome, Brave, Edge, Opera, Firefox, Safari, Arc, Vivaldi, Orion, Sidekick, Coccoc et autres (cookies, Login Data, Safe Storage keys) Vol de wallets crypto : 25 wallets desktop (Exodus, Electrum, Atomic, Guarda, Coinomi, Sparrow, Wasabi, Bitcoin Core…) + plus de 100 extensions Chromium dont MetaMask Vol de sessions : Telegram (tdata/), Discord (4 variantes), Steam Grab de fichiers : ~/Desktop, ~/Documents (docx, wallet, key, json, rdp, png…) Apple Notes : copie SQLite directe Exfiltration : archive ZIP vers https://qwqerrqwr2145qw.com/gate avec clé API dédiée 💉 Injection de wallets desktop Après exfiltration, le malware cible Exodus, Atomic Wallet, Ledger Wallet, Ledger Live, Trezor Suite : ...