Quand Apple a commencé à bloquer l'exécution des applications qui ne sont pas signées avec macOS Sequoia — depuis ce système, le lancement des apps de ce type est fastidieux — les malandrins se sont adaptés. À l'époque, la solution était simple : de faux sites tentaient de faire copier du code dans le terminal pour installer un logiciel malicieux, plutôt que de lui faire exécuter un programme non signé. Mais avec macOS Tahoe 26.4, Apple a ajouté une protection pour éviter qu'un néophyte se fasse avoir… donc les pirates se sont adaptés.
L'avertissement pour les copier-coller frauduleux de macOS 26.4 cible les néophytes
Comme Apple a bloqué un vecteur d'installation, ils en ont trouvé une autre. Selon Jamf, il passe par AppleScript. La nouvelle campagne ClickFix (le nom donné à ce type d'attaque) tente d'installer Atomic Stealer (un logiciel malveillant bien connu) en passant par une nouvelle méthode. Atomic Stealer tente notamment d'envoyer vos données chez les pirates, mais aussi de récupérer l'accès à d'éventuels portefeuilles contenant des cryptomonnaies.
Le malware pour Mac, Atomic Stealer, évolue encore pour vous duper
Plutôt que d'inciter l'utilisateur à copier du code dans le terminal, ils essayent cette fois de lui faire exécuter du code AppleScript. Un lien formé avec une URI de type applescript://. Cette dernière contient un script en AppleScript qui va faire la même chose que le code dans le terminal : tenter d'installer le malware en douce. Le code est évidemment rendu plus ou moins illisible pour le commun des mortels. Dans l'exemple de Jamf, le code est présenté comme une méthode qui permet de gagner quelques précieux gigaoctets sur un Mac, qui a souvent un SSD avec une capacité un peu faible, et la seule protection mise en place par Apple, pour le moment, est un message qui demande d'approuver l'ouverture de l'éditeur de script. Et comme pour la méthode du terminal, un utilisateur lambda risque d'accepter par habitude ou parce qu'il ne comprend pas les implications du message.
Étant donné la manière dont ce petit jeu du chat et de la souris évolue, nous pouvons supposer qu'Apple va imposer de nouvelles restrictions sur l'utilisation de l'éditeur de script… ce qui va amener les escrocs à trouver une nouvelle voie, ce qui va pousser Apple à restreindre macOS, etc.
