https://cyberveille.ch/tags/campagne-russophone/ Recent content in Campagne Russophone on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Fri, 19 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-19-macos-clickfix-un-rat-persistant-et-un-stealer-applescript-ciblent-asie-amerique-du-nord-et-oceanie/ Fri, 19 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-19-macos-clickfix-un-rat-persistant-et-un-stealer-applescript-ciblent-asie-amerique-du-nord-et-oceanie/ <h2 id="-contexte">🔍 Contexte</h2> <p>Netskope Threat Labs a publié le 17 juin 2026 une analyse technique d&rsquo;une campagne <strong>ClickFix</strong> ciblant macOS, interceptée le 31 mai 2026. Cette campagne fait suite à une première vague signalée en avril 2026 et représente une évolution significative : elle intègre désormais un <strong>RAT (Remote Access Trojan) persistant</strong> en plus d&rsquo;un infostealer AppleScript. L&rsquo;attaquant est identifié comme russophone.</p> <h2 id="-ciblage-et-distribution">🎯 Ciblage et distribution</h2> <ul> <li><strong>Victimes</strong> : principalement en Asie, Amérique du Nord et Océanie</li> <li><strong>Secteurs</strong> : technologie, médias, services aux entreprises</li> <li><strong>Infrastructure</strong> : 25 domaines leurres éphémères, tous proxifiés via Cloudflare, enregistrés avec le même email administrateur (<code>dbc9a6801423efc7s@ghastlier[.]com</code>)</li> <li><strong>Pages leurres</strong> : trois variantes — fausse page utilitaire macOS (&ldquo;StellarScan Solutions&rdquo;), fausse page GitHub, page de support IT localisée (Berlin)</li> </ul> <h2 id="-chaîne-dinfection-entièrement-fileless">⚙️ Chaîne d&rsquo;infection (entièrement fileless)</h2> <ol> <li><strong>Social engineering ClickFix</strong> : la victime est incitée à copier-coller une commande <code>curl</code> dans le Terminal</li> <li><strong>Stage 1 (loader zsh)</strong> : script gzip+base64 évalué en mémoire, effectue : <ul> <li>Géofencing CIS : détecte le clavier russe via <code>com.apple.HIToolbox.plist</code> et quitte silencieusement</li> <li>Beacon de télémétrie vers le C2 (IP, locale, hostname, OS, hash de build)</li> <li>Récupération du payload AppleScript via <code>curl</code> pipé directement dans <code>osascript</code> (jamais écrit sur disque)</li> </ul> </li> <li><strong>Stage 2 (&ldquo;Meow DEBUG&rdquo;)</strong> : payload AppleScript exécuté entièrement en mémoire</li> </ol> <h2 id="-capacités-du-payload-stage-2">🦠 Capacités du payload Stage 2</h2> <ul> <li><strong>Vol de credentials</strong> : fausse boîte de dialogue System Preferences, validation via <code>dscl . authonly</code>, jusqu&rsquo;à 10 tentatives</li> <li><strong>Vol de données navigateurs</strong> : Chrome, Brave, Edge, Opera, Firefox, Safari, Arc, Vivaldi, Orion, Sidekick, Coccoc et autres (cookies, Login Data, Safe Storage keys)</li> <li><strong>Vol de wallets crypto</strong> : 25 wallets desktop (Exodus, Electrum, Atomic, Guarda, Coinomi, Sparrow, Wasabi, Bitcoin Core…) + plus de 100 extensions Chromium dont MetaMask</li> <li><strong>Vol de sessions</strong> : Telegram (<code>tdata/</code>), Discord (4 variantes), Steam</li> <li><strong>Grab de fichiers</strong> : <code>~/Desktop</code>, <code>~/Documents</code> (docx, wallet, key, json, rdp, png…)</li> <li><strong>Apple Notes</strong> : copie SQLite directe</li> <li><strong>Exfiltration</strong> : archive ZIP vers <code>https://qwqerrqwr2145qw.com/gate</code> avec clé API dédiée</li> </ul> <h2 id="-injection-de-wallets-desktop">💉 Injection de wallets desktop</h2> <p>Après exfiltration, le malware cible <strong>Exodus, Atomic Wallet, Ledger Wallet, Ledger Live, Trezor Suite</strong> :</p>