SOC Prime Bias: Élevé

25 Nov 2025 14:59 UTC

Clickfix sur macOS : Campagne de Malware AppleScript Utilise des Prompts Terminal pour Voler des Données

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Clickfix sur macOS : Campagne de Malware AppleScript Utilise des Prompts Terminal pour Voler des Données
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

La campagne de malware AppleScript cible les utilisateurs de macOS via une technique ClickFix en les persuadant d’exécuter manuellement des commandes shell décodées en base64 dans le Terminal. Ces commandes récupèrent un voleur AppleScript qui collecte les données des navigateurs, les portefeuilles de crypto-monnaies, les documents locaux et d’autres informations sensibles, puis les exfiltre vers des serveurs contrôlés par les attaquants. Comme aucun binaire traditionnel n’est écrit sur le disque, l’activité est plus difficile à repérer avec un AV classique. L’opération repose sur plusieurs domaines trompeurs et des ports de service inhabituels pour le trafic de commandement et de contrôle.

Analyse de la Campagne AppleScript

Les chercheurs ont examiné les sites de phishing, le JavaScript responsable de distribuer la charge utile, et l’AppleScript utilisé pour la collecte et l’exfiltration. La cartographie de l’infrastructure a révélé des domaines tels que cryptoinfo-news.com and odyssey1.to, ainsi que des services exposés sur les ports 22, 80, 3333, et 5201. La charge utile AppleScript emballe les données volées dans un fichier ZIP à /tmp/out.zip et utilise curl pour le télécharger vers un point d’accès distant.

Atténuation

Les défenseurs devraient bloquer les domaines malveillants identifiés et limiter les connexions sortantes sur des ports peu communs. Renforcez les hôtes macOS en restreignant l’utilisation d’AppleScript et de shell, en surveillant les modèles d’exécution base64-d | bash , et en appliquant des contrôles CORS stricts dans les environnements web. La formation de sensibilisation à la sécurité devrait mettre en évidence les pages de phishing qui demandent aux utilisateurs de copier-coller et d’exécuter des commandes Terminal.

Réponse

Lorsque ces modèles d’indicateurs sont détectés, avertissez le SOC, isolez le système affecté, et capturez les artefacts temporaires et l’historique des shells. Effectuez un examen médico-légal du répertoire /tmp , quarantainez les archives ZIP suspectes, et corrélez le trafic sortant avec les serveurs et ports C2 connus identifiés dans la campagne.

Flux d’Attaque

Exécution de Simulation

Prérequis : Le Contrôle de Pré-vol de Télémétrie & Baseline doit avoir réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit reflètent directement les TTP identifiés et visent à générer la télémétrie exacte attendue par la logique de détection.

  • Narration & Commandes d’Attaque :

    1. L’attaquant envoie un email de phishing contenant la commande en une ligne :

      echo "cHJpbnQoJ0NhdXNlJykK" | base64 -d | bash

      (La charge utile se décode en print('Cause') – un espace réservé pour tout script Bash malveillant.)

    2. Un utilisateur non avisé copie la ligne et la colle dans le Terminal.

    3. macOS génère un processus bash dont la ligne de commande correspond exactement au modèle base64 -d | bash, satisfaisant le critère de sélection de la règle Sigma.exécution.

    4. L’interpréteur Bash exécute la charge utile décodée, complétant l’action malveillante (par exemple, établir un shell inversé, télécharger des outils supplémentaires).

  • Script de Test de Régression : Le script ci-dessous automatise les étapes 1 à 3, reproduisant la télémétrie nécessaire pour la validation.

    #!/bin/bash
    # -------------------------------------------------
    # Simuler l'exécution macOS Base64-décodage-et-Bash
    # -------------------------------------------------
    # Charge utile encodée en base64 (affiche "Compromission")
    PAYLOAD="cHJpbnQoJ0NvbXByb21pc2UnKQ=="
    
    # Exécute la ligne en une seule commande exactement comme le ferait un attaquant
    echo "$PAYLOAD" | base64 -d | bash
    
    # Quitte avec le statut de la commande Bash
    exit $?
  • Commandes de Nettoyage : Supprimez tous les fichiers temporaires ou les processus en arrière-plan qui auraient pu être créés par la charge utile (remplacez par un nettoyage spécifique à la charge utile si nécessaire).

    #!/bin/bash
    # Nettoyage simple - s'assurer qu'aucun processus enfant Bash ne persiste
    pkill -f "base64 -d | bash" 2>/dev/null
    # Si la charge utile a créé des fichiers, les supprimer (exemple d'espace réservé)
    rm -f /tmp/malicious_script.sh 2>/dev/null