ClickFix et MacSync : un infostealer macOS via faux outils IA

Quand l'IA sert d'appat pour voler vos donnees

Les utilisateurs de Mac qui pensent etre a l'abri des malwares vont devoir revoir leur copie. Les chercheurs de Sophos viennent de detailler trois vagues d'attaques utilisant la technique ClickFix pour distribuer MacSync, un infostealer (un logiciel malveillant specialise dans le vol de donnees) qui cible specifiquement macOS. Le point commun de ces campagnes ? Elles utilisent des faux outils d'intelligence artificielle comme appat.

ClickFix n'est pas un malware a proprement parler. C'est une technique d'ingenierie sociale (manipulation psychologique visant a tromper un utilisateur) qui repose entierement sur l'interaction de la victime. Le principe : tromper l'utilisateur pour qu'il copie et execute lui-meme une commande dans le Terminal de macOS. Pas de faille technique exploitee, pas de zero-day, juste de la manipulation.

Comme le resument les chercheurs de Sophos : "Contrairement aux attaques basees sur des exploits traditionnels, cette methode repose entierement sur l'interaction de l'utilisateur, generalement sous la forme de copier-coller et d'execution de commandes, ce qui la rend particulierement efficace."

Premiere vague : ChatGPT Atlas comme leurre

La premiere campagne remonte a novembre 2025. Les attaquants ont utilise comme appat un faux site se faisant passer pour "OpenAI ChatGPT Atlas", un pretendu nouvel outil d'OpenAI. Les victimes tombaient sur ces faux sites via des resultats sponsorises Google (des publicites qui apparaissent en haut des resultats de recherche).

Le faux site, heberge sur Google Sites (le service de creation de pages web gratuit de Google, ce qui le rend d'autant plus credible), presentait un bouton de telechargement. En cliquant, la victime etait invitee a ouvrir le Terminal et a coller une commande. Cette commande telechargeait un script shell (un fichier contenant des instructions en ligne de commande) qui demandait ensuite le mot de passe systeme de l'utilisateur.

Une fois le mot de passe obtenu, le script installait MacSync avec des privileges utilisateur. Le malware avait alors acces a la quasi-totalite des donnees personnelles.

Deuxieme vague : le malvertising evolue

La deuxieme campagne, en decembre 2025, a change de tactique pour l'appat. Au lieu de faux outils IA, les attaquants ont achete des publicites ciblant des recherches comme "comment nettoyer son Mac". Les victimes cliquaient sur ces pubs, atterrissaient sur des pages qui exploitaient des conversations ChatGPT legitimes (des vraies pages OpenAI redirigees vers du contenu malveillant) pour paraitre fiables.

La suite du processus menait a des pages d'atterrissage imitant des depots GitHub (la plateforme de partage de code). Encore une fois, la victime etait incitee a copier-coller une commande Terminal. Le resultat etait le meme : installation de MacSync.

Troisieme vague : AppleScript en memoire

La troisieme campagne, detectee en fevrier 2026, est la plus sophistiquee. Elle cible des utilisateurs en Belgique, en Inde et en Amerique du Nord et du Sud. La grande nouveaute technique : le malware utilise maintenant des payloads AppleScript dynamiques (AppleScript etant le langage de scripting natif de macOS).

Au lieu de telecharger un fichier sur le disque, le script recupere son payload (la charge utile, le code malveillant principal) depuis un serveur distant et l'execute directement en memoire. Cette technique d'execution en memoire est redoutable parce qu'elle echappe aux analyses statiques (les outils qui scannent les fichiers sur le disque) et aux detections comportementales classiques. Si aucun fichier malveillant n'est ecrit sur le disque, les antivirus traditionnels n'ont rien a scanner.

Le malware inclut aussi des mecanismes de suppression de preuves : une fois les donnees volees, il nettoie ses traces pour compliquer le travail des analystes en reponse a incident.

Ce que MacSync vole

Les donnees ciblees par MacSync sont exactement celles qui ont le plus de valeur sur le marche noir :

Les identifiants utilisateur, c'est-a-dire les mots de passe stockes dans le navigateur et dans le systeme. Le Keychain de macOS, le gestionnaire de mots de passe integre d'Apple qui stocke les mots de passe Wi-Fi, les certificats, les cles d'API et les tokens d'authentification. Les fichiers et documents personnels. Et les phrases de recuperation de portefeuilles de cryptomonnaies (les seed phrases), ces 12 ou 24 mots qui donnent un acces total aux fonds crypto d'une personne.

Le vol de seed phrases est particulierement grave parce qu'il permet de vider un portefeuille crypto en quelques secondes, de maniere irreversible.

ClickFix : une epidemie en cours

MacSync n'est que la partie visible de l'iceberg. Les chercheurs ont identifie plus de 20 campagnes distinctes utilisant la technique ClickFix entre fevrier et mars 2026, dont 9 ciblant a la fois Windows et macOS. Ces campagnes distribuent toute une panoplie de malwares :

Amatera Stealer et Alien infostealer sur Windows. Atomic Stealer, un autre voleur de donnees macOS bien connu. StealC Stealer et VodkaStealer, des infostealers multiplateformes.

Ces campagnes connexes, regroupees sous le nom InstallFix, ciblent specifiquement les utilisateurs qui cherchent des outils d'IA ou de programmation. La logique est simple : quelqu'un qui cherche un outil IA ou de dev est probablement a l'aise avec un Terminal, ce qui le rend plus susceptible de copier-coller une commande sans trop se mefier.

Des sites WordPress compromis dans plus de 12 pays ont egalement ete utilises pour deployer des variantes ClickFix deguisees en fausses verifications Cloudflare (ces fameux tests "Verifiez que vous etes humain" qu'on voit partout sur le web).

Pourquoi ca marche si bien

La force de ClickFix, c'est sa simplicite. Les defenses de securite traditionnelles sont concues pour bloquer des exploits techniques : des fichiers malveillants, des vulnerabilites logicielles, des connexions reseau suspectes. Mais ici, c'est l'utilisateur lui-meme qui execute la commande malveillante. Le systeme fait exactement ce qu'on lui demande de faire. Pas de faille a exploiter, pas de signature a detecter.

De plus, les commandes utilisees sont souvent des patterns (des schemas de commandes) familiers aux developpeurs. Un curl suivi d'un pipe vers bash, c'est quelque chose que n'importe quel dev a deja fait pour installer un outil legitime. La difference, c'est que cette fois l'URL pointe vers un serveur malveillant.

Comment se proteger

La premiere regle, et la plus simple : ne jamais copier-coller une commande Terminal depuis un site web que vous n'avez pas vous-meme recherche et verifie. Si un site vous demande d'ouvrir le Terminal et de coller quelque chose, c'est un signal d'alarme majeur.

Quelques mesures concretes en plus. Verifier systematiquement les URLs avant de cliquer, surtout sur les resultats sponsorises de Google. Utiliser un gestionnaire de mots de passe dedie plutot que le Keychain seul (les gestionnaires tiers chiffrent les donnees differemment). Stocker les seed phrases crypto hors ligne, sur un support physique, jamais dans un fichier sur l'ordinateur. Activer les protections de Gatekeeper (le systeme de verification d'Apple qui bloque les applications non signees) et ne pas les desactiver meme temporairement.

Les utilisateurs de Mac ne sont plus a l'abri depuis longtemps. MacSync et les campagnes ClickFix le prouvent une fois de plus : la meilleure faille de securite reste celle qui se trouve entre la chaise et le clavier.