ClickFix : le malware Shamos cible les Mac avec des tutoriels piégés
Shamos, c'est le nom du nouveau malware qui cible les utilisateurs de MacOS. Cette variante du célèbre logiciel malveillant Atomic macOS Stealer (AMOS) est distribué via des attaques ClickFix. Le prétexte : vous apporter une solution pour un problème ou vous guider pour installer un logiciel. Faisons le point.
Des attaques ClickFix pour piéger les utilisateurs de macOS
Développé par le groupe de cybercriminels nommé "COOKIE SPIDER", ce nouveau venu dans le paysage des menaces sur macOS se montre déjà très actif. Les chercheurs de CrowdStrike, qui ont détecté la menace, rapportent avoir observé des tentatives d'infection dans plus de trois cents environnements sous leur surveillance depuis juin 2025, témoignant d'une campagne de diffusion agressive et à grande échelle.
La méthode de propagation de Shamos repose l'attaque "ClickFix". Dans le cas des campagnes observées, les victimes sont piégées par de la publicité malveillante (malvertising) ou de faux dépôts GitHub qui prétendent offrir des solutions à des problèmes courants sur macOS (un problème d'impression, par exemple).
"Des utilisateurs situés dans de nombreux pays - dont les États-Unis, le Royaume-Uni, le Japon, la Chine, la Colombie, le Canada, le Mexique, l'Italie et d'autres - ont reçu ces publicités ; aucune victime n'a été localisée en Russie.", précisent les chercheurs dans leur rapport.
En réalité, ces pages, hébergées sur des domaines comme mac-safer[.]com ou rescue-mac[.]com, proposent un guide de dépannage qui incite l'utilisateur à copier-coller une ligne de commande dans son Terminal... Bien évidemment, cette commande ne corrige rien ! Au contraire, elle lance le processus d'infection !
L'URL encodée en Base64 va télécharger un script Bash malveillant qui va ensuite effectuer plusieurs actions :
- Capturer le mot de passe de l'utilisateur.
- Télécharger l'exécutable Mach-O de Shamos.
- Utiliser les commandes
xattr(pour supprimer le marqueur de quarantaine) etchmod(pour rendre le fichier exécutable) afin de contourner Gatekeeper, le mécanisme de sécurité de macOS.
Une fois de plus, la technique ClickFix tire profit de l'excès de confiance de l'utilisateur et sa volonté de résoudre rapidement un problème technique. L'utilisateur devient acteur de l'infection de sa propre machine !
Un autre cas de figure correspond à un tutoriel d'installation de l'application iTerm2 sur macOS. La commande d'installation, censée simplifier l'installation de l'outil, pointe directement vers un script malveillant !
Quelles sont les actions effectuées par Shamos ?
Quand Shamos passe à l'action sur une machine infectée, il vérifie d'abord son contexte d'exécution (détection d'une sandbox), avant de lancer des commandes AppleScript pour reconnaître l'environnement et collecter des informations.
La mission principale du malware est de voler des données. Il cible spécifiquement :
- Les fichiers de portefeuilles de cryptomonnaies.
- Les données du Trousseau d'accès (Keychain).
- Le contenu de l'application Notes d'Apple.
- Les informations stockées dans les navigateurs web (cookies, mots de passe, identifiants, etc.).
Toutes les données collectées sont ensuite compressées dans une archive nommée out.zip et exfiltrées vers un serveur contrôlé par l'attaquant.
Le malware Shamos dispose d'un mécanisme pour assurer sa persistance sur la machine infectée, dans le cas où il parvient à s'exécuter avec des privilèges élevés (via sudo). Pour cela, il crée un fichier .plist (com.finder.helper.plist) dans le répertoire LaunchDaemons de l'utilisateur, s'assurant ainsi d'être relancé automatiquement à chaque démarrage du système.
Enfin, CrowdStrike note également que Shamos peut télécharger des charges utiles supplémentaires, comme une fausse application Ledger Live.
Qu'en pensez-vous ?
