macOS : escalade de privilèges via exploitation du cache CDHash XPC et injection NIB

🔍 Contexte Publié le 24 juin 2026 par Hillel Pinto (XM Cyber), cet article présente une nouvelle technique d’escalade de privilèges macOS permettant à un compte utilisateur standard de désactiver des solutions de sécurité d’entreprise (EDR, MDM) sans droits administrateur, sans exploit noyau et sans déclencher d’alertes. ⚙️ Mécanisme technique L’attaque repose sur une chaîne d’exploitation en plusieurs étapes : Exploitation du cache CDHash noyau : un binaire signé légitime est lancé pour peupler le cache de confiance du noyau, puis la structure du bundle applicatif est modifiée pour injecter un payload NIB (Interface Builder) malveillant. Héritage du contexte de confiance : le code malveillant s’exécute dans l’espace mémoire du composant signé légitime, héritant de ses credentials de confiance noyau, ce qui lui permet de communiquer avec les daemons privilégiés sans authentification. Bridge Objective-C via JXA : pour contourner les limitations d’AppleScript, un bridge multi-étapes est construit : chargement de OSAKit.framework, transition vers JavaScript for Automation (JXA), accès au bridge Objective-C, manipulation de malloc/free, dispatch_block_create, objc_msgSend, et spoofing de structures Block_layout. Méthodes XPC exposées exploitées : runProcessWithCommand:, terminateAppsAndAgents:, ceaseSystemExtensionWithReply: 🎯 Produits impactés CrowdStrike Falcon Sensor : déchargement complet du capteur depuis un compte UID 502, terminaison de la surveillance des processus et de la visibilité réseau. → Détection et prévention ajoutées, bounty payé. Kandji MDM Agent : désactivation permanente via une chaîne XPC en deux phases, suppression des gardes EDR et terminaison de l’extension Endpoint Security Framework (ESF). → CVE-2026-39118 assigné, bounty payé, correctif déployé. 🛠️ Outil associé Le chercheur a développé XPC Hunter, un framework open-source automatisé de découverte des surfaces d’escalade de privilèges XPC sur toutes les applications macOS installées. Sa présentation est prévue à Black Hat US en août 2026. ...

30 juin 2026 · 3 min

macOS.Gaslight : backdoor Rust DPRK avec injection de prompt anti-LLM et C2 Telegram

🔍 Contexte Publié le 23 juin 2026 par SentinelLABS (Phil Stokes), cet article présente l’analyse technique d’un implant macOS baptisé macOS.Gaslight, découvert après une mise à jour XProtect d’Apple début juin 2026. L’échantillon avait été soumis sur VirusTotal le 22 mai 2026 et restait non détecté par les moteurs statiques au moment de la publication. 🎯 Attribution et cluster SentinelLABS attribue avec haute confiance cet implant à un cluster d’activité macOS aligné DPRK (Corée du Nord). Apple détecte l’échantillon sous la règle XProtect MACOS_BONZAI_COBUCH, famille associée par SentinelLABS à l’activité nord-coréenne. Un échantillon BONZAI frère est également détecté par la règle AIRPIPE, également liée à la Corée du Nord. ...

26 juin 2026 · 4 min

macOS ClickFix : un RAT persistant et un stealer AppleScript ciblent Asie, Amérique du Nord et Océanie

🔍 Contexte Netskope Threat Labs a publié le 17 juin 2026 une analyse technique d’une campagne ClickFix ciblant macOS, interceptée le 31 mai 2026. Cette campagne fait suite à une première vague signalée en avril 2026 et représente une évolution significative : elle intègre désormais un RAT (Remote Access Trojan) persistant en plus d’un infostealer AppleScript. L’attaquant est identifié comme russophone. 🎯 Ciblage et distribution Victimes : principalement en Asie, Amérique du Nord et Océanie Secteurs : technologie, médias, services aux entreprises Infrastructure : 25 domaines leurres éphémères, tous proxifiés via Cloudflare, enregistrés avec le même email administrateur (dbc9a6801423efc7s@ghastlier[.]com) Pages leurres : trois variantes — fausse page utilitaire macOS (“StellarScan Solutions”), fausse page GitHub, page de support IT localisée (Berlin) ⚙️ Chaîne d’infection (entièrement fileless) Social engineering ClickFix : la victime est incitée à copier-coller une commande curl dans le Terminal Stage 1 (loader zsh) : script gzip+base64 évalué en mémoire, effectue : Géofencing CIS : détecte le clavier russe via com.apple.HIToolbox.plist et quitte silencieusement Beacon de télémétrie vers le C2 (IP, locale, hostname, OS, hash de build) Récupération du payload AppleScript via curl pipé directement dans osascript (jamais écrit sur disque) Stage 2 (“Meow DEBUG”) : payload AppleScript exécuté entièrement en mémoire 🦠 Capacités du payload Stage 2 Vol de credentials : fausse boîte de dialogue System Preferences, validation via dscl . authonly, jusqu’à 10 tentatives Vol de données navigateurs : Chrome, Brave, Edge, Opera, Firefox, Safari, Arc, Vivaldi, Orion, Sidekick, Coccoc et autres (cookies, Login Data, Safe Storage keys) Vol de wallets crypto : 25 wallets desktop (Exodus, Electrum, Atomic, Guarda, Coinomi, Sparrow, Wasabi, Bitcoin Core…) + plus de 100 extensions Chromium dont MetaMask Vol de sessions : Telegram (tdata/), Discord (4 variantes), Steam Grab de fichiers : ~/Desktop, ~/Documents (docx, wallet, key, json, rdp, png…) Apple Notes : copie SQLite directe Exfiltration : archive ZIP vers https://qwqerrqwr2145qw.com/gate avec clé API dédiée 💉 Injection de wallets desktop Après exfiltration, le malware cible Exodus, Atomic Wallet, Ledger Wallet, Ledger Live, Trezor Suite : ...

19 juin 2026 · 5 min

LLMShare : des attaquants détournent les pages partagées de ChatGPT et Claude pour distribuer des malwares

🔍 Contexte Publié le 29 mai 2026 par Push Security, cet article de recherche documente une campagne active baptisée LLMShare, qui exploite les fonctionnalités de partage de contenu des plateformes d’IA conversationnelle ChatGPT (chatgpt.com) et Claude (claude.ai) pour distribuer des malwares ciblant les utilisateurs macOS et Windows. 🎯 Technique d’attaque Les attaquants exploitent la confiance implicite accordée aux domaines chatgpt.com et claude.ai par les outils de réputation d’URL et les utilisateurs : ...

31 mai 2026 · 3 min

La boutique en ligne de Kash Patel compromise via une attaque ClickFix distribuant un infostealer

📰 Source : Hackread.com — Date de publication : 25 mai 2026 Le site de vente en ligne BasedApparel.com, co-créé par le directeur du FBI Kash Patel et Andrew Ollis, a été compromis par des acteurs inconnus pour distribuer un infostealer ciblant macOS via une technique d’ingénierie sociale connue sous le nom de ClickFix. 🎯 Mécanisme de l’attaque Lors de la visite du site, les utilisateurs étaient redirigés vers une fausse page de vérification imitant Cloudflare (faux CAPTCHA « Verify you are human »). La page affichait un avertissement de trafic inhabituel et demandait à l’utilisateur de : ...

26 mai 2026 · 3 min

SHub Reaper : nouveau stealer macOS usurpant Apple, Google et Microsoft dans une même chaîne d'attaque

🔍 Contexte Publié le 18 mai 2026 par Phil Stokes sur le blog de SentinelOne, cet article présente l’analyse technique d’une nouvelle variante du stealer macOS SHub, identifiée sous le build tag “Reaper”. Des recherches antérieures de Moonlock, Jamf et Malwarebytes avaient déjà documenté SHub Stealer et ses techniques associées. 🎯 Vecteur d’infection et leurres Reaper utilise de faux installeurs WeChat et Miro comme leurres initiaux, hébergés sur des domaines typosquattés dont mlcrosoft[.]co[.]com (usurpant Microsoft). La chaîne d’infection change de déguisement à chaque étape : ...

21 mai 2026 · 4 min

Campagne ClickFix macOS : trois vagues d'infostealers via fausses commandes Terminal

🔍 Contexte Publié le 6 mai 2026 par la Microsoft Defender Security Research Team, cet article documente l’évolution d’une campagne ClickFix ciblant les utilisateurs macOS, active depuis fin janvier 2026. La campagne exploite des plateformes de contenu légitimes (Medium, Craft, Squarespace) pour héberger de fausses instructions de dépannage. 🎯 Mécanisme d’infection Les victimes sont incitées à copier-coller des commandes Terminal encodées en Base64 présentées comme des utilitaires système. Contrairement aux bundles applicatifs soumis à Gatekeeper, les scripts exécutés via Terminal échappent aux vérifications de signature et de notarisation Apple. ...

8 mai 2026 · 10 min

Publicité malveillante pour Homebrew distribue le stealer MacSync sur macOS

📅 Source : SANS Internet Storm Center (diary de Brad Duncan), publié le 2026-05-01. 🎯 Contexte : Dans un contexte de croissance de l’usage des appareils macOS (MacBooks, Mac Minis), des campagnes de malvertising ciblent ces hôtes. Une annonce malveillante observée le 2026-04-30 dans les résultats de recherche Google usurpe l’identité de Homebrew, le gestionnaire de paquets tiers pour macOS. 🔗 Vecteur d’infection : La publicité redirige vers une fausse page Homebrew hébergée sur sites.google.com/view/brewpage. Cette page présente un script à copier-coller que la victime est invitée à exécuter dans un terminal macOS. ...

4 mai 2026 · 3 min

Analyse technique d'un stealer macOS lié à la campagne AMOS : vecteur ClickFix et exfiltration complète

🔍 Contexte Article publié le 1er avril 2026 sur le blog Objective-See par Pablo Redondo Castro, étudiant chercheur en sécurité macOS. L’analyse porte sur un échantillon de stealer macOS découvert sur une machine physique remise à l’analyste, probablement lié à la campagne AMOS Stealer. 🎯 Vecteur d’infection initial La compromission repose sur un vecteur ClickFix : une commande curl combinée à un décodage base64 et une exécution zsh est copiée-collée par la victime. Le domaine initial est Mac-force.squarespace.com, déjà observé dans des campagnes AMOS antérieures (Claude-docs, n8n). Un second domaine, rvdownloads.com, est utilisé pour télécharger un fichier binaire /tmp/helper. ...

23 avril 2026 · 4 min

Claude Desktop installe silencieusement un pont Native Messaging dans tous les navigateurs Chromium

🔍 Contexte Article publié le 18 avril 2026 par Alexander Hanff sur thatprivacyguy.com. L’auteur, analyste en vie privée et sécurité, documente une découverte forensique réalisée sur son MacBook lors d’un audit de son environnement navigateur. 🛠️ Comportement technique documenté L’installation de Claude Desktop (application Electron macOS, bundle ID com.anthropic.claudefordesktop) dépose automatiquement et silencieusement un manifeste Native Messaging (com.anthropic.claude_browser_extension.json) dans les répertoires de configuration de sept navigateurs Chromium : Arc, Brave, Chromium, Google Chrome, Microsoft Edge, Vivaldi et Opera. ...

22 avril 2026 · 3 min
Dernière mise à jour le: 14 juillet 2026 📝