**Script Editor**, une application macOS de confiance utilisée pour écrire et exécuter des scripts (principalement AppleScript et JXA), est détournée pour distribuer des malwares. Les chercheurs ont observé une nouvelle technique ClickFix qui ne nécessite pas aux utilisateurs d'interagir manuellement avec le Terminal, contrairement aux attaques antérieures. ### L'attaque ClickFix contourne les avertissements du Terminal Bien qu'**Apple** ait ajouté des protections contre les attaques ClickFix dans macOS Tahoe 26.4, qui affiche un avertissement lors de l'exécution de commandes dans le Terminal, cette nouvelle attaque basée sur Script Editor contourne cette mesure de sécurité. ### De faux sites à l'effigie d'Apple distribuent des malwares Les chercheurs en sécurité de **Jamf** ont observé une campagne où les attaquants utilisent de faux sites web à l'effigie d'Apple, se présentant comme des guides pour aider les utilisateurs à libérer de l'espace disque sur leurs Mac. Ces sites contiennent des instructions de nettoyage système apparemment légitimes, mais utilisent le schéma d'URL `applescript://` pour lancer Script Editor avec du code exécutable pré-rempli.  *Source : Jamf* ### Analyse technique de l'attaque Le code malveillant exécute une commande `curl | zsh` obfusquée, qui télécharge et exécute un script directement dans la mémoire système. Ce script décode une charge utile base64 + gzip, télécharge un binaire (`/tmp/helper`), supprime les attributs de sécurité à l'aide de `xattr -c`, le rend exécutable, puis l'exécute. ### Charge utile Atomic Stealer (AMOS) La charge utile finale est un binaire Mach-O identifié comme **Atomic Stealer** (AMOS), un malware-as-a-service commercial. Ce malware a été largement déployé dans des campagnes ClickFix utilisant diverses leurres au cours de la dernière année. AMOS cible un large éventail de données sensibles, notamment : * Informations du trousseau * Fichiers du bureau * Extensions de portefeuille de cryptomonnaies * Données de remplissage automatique des navigateurs * Mots de passe * Cookies * Cartes de crédit enregistrées * Informations système L'année dernière, AMOS a également ajouté un composant backdoor pour fournir aux opérateurs un accès persistant aux systèmes compromis. ### Atténuation et prévention Les utilisateurs de Mac doivent traiter les invites de Script Editor avec une extrême prudence et éviter de les exécuter à moins de comprendre pleinement le code et de faire confiance à la source. Fiez-vous à la documentation officielle d'Apple pour les guides de dépannage macOS. Bien que les **Apple Support Communities** puissent être utiles, faites preuve de prudence car les conseils peuvent ne pas être sans risque.