De faux messages de dépannage macOS installent des voleurs de portefeuilles de cryptomonnaie

Des pirates publient de faux guides de dépannage macOS sur Medium, Craft et Squarespace. Leur objectif est d'inciter les utilisateurs à exécuter des commandes Terminal qui installent des logiciels malveillants ciblant les données iCloud, les mots de passe enregistrés et les portefeuilles de cryptomonnaies.

L'équipe de recherche en sécurité de Microsoft Defender a publié les résultats de cette campagne. Celle-ci est active depuis fin 2025 et cible les utilisateurs de Mac qui recherchent de l'aide pour des problèmes courants comme la libération d'espace disque ou la résolution d'erreurs système.

Au lieu de proposer une solution légitime, ces pages invitent les utilisateurs à copier une commande et à la coller dans le Terminal. Cette commande télécharge et exécute un logiciel malveillant.

Ces articles de blog trompeurs incitent les lecteurs à copier une commande malveillante et à la coller dans le Terminal. Cette commande télécharge un logiciel malveillant et l'exécute sur l'ordinateur de la victime.

Cette technique, appelée ClickFix, est une forme d'ingénierie sociale qui consiste à faire porter la responsabilité de l'exécution du programme malveillant à la victime. Comme l'utilisateur exécute la commande directement dans le Terminal, Gatekeeper de macOS n'inspecte jamais le programme malveillant.

Gatekeeper vérifie normalement la signature et la notarisation du code des paquets d'applications ouverts via le Finder, mais cette méthode les contourne complètement.

Les attaquants ont lancé trois campagnes avec le même objectif

Microsoft a repéré trois programmes d'installation de campagne :

1. Une chargeuse.
2. Un script.
3. Un assistant.

Ces trois techniques consistent à collecter des données sensibles, à établir une présence persistante et à exfiltrer les informations volées vers les serveurs de l'attaquant.

Les familles de logiciels malveillants comprennent AMOS, Macsync et SHub Stealer. Si l'un de ces trois logiciels est installé, il cible les données des comptes iCloud et Telegram. Il recherche ensuite les documents et photos privés de moins de 2 Mo. Enfin, iltracles clés des portefeuilles cryptographiques Exodus, Ledger et Trezor, et vole les identifiants et mots de passe enregistrés dans Chrome et Firefox.

Après son installation, le logiciel malveillant affiche une fausse boîte de dialogue et demande un mot de passe système pour installer un « outil auxiliaire ». Si l'utilisateur saisit le mot de passe, l'attaquant obtient un accès complet aux fichiers et aux paramètres système.

Dans certains cas, les chercheurs ont constaté que les attaquants supprimaient des applications de portefeuille crypto légitimes et les remplaçaient par des versions infectées par un cheval de Troie, conçues pour surveiller les transactions et voler des fonds.

Trezor Suite, Ledger Wallet et Exodus figuraient parmi les principales applications ciblées par cette attaque.

La campagne de chargement inclut également un coupe-circuit. Le logiciel malveillant cesse de s'exécuter s'il détecte une disposition de clavier russe.

Des chercheurs en sécurité ont observé que des attaquants utilisaient curl, osascript et d'autres utilitaires natifs de macOS pour exécuter des charges utiles directement en mémoire. Cette approche sans fichier rend la détection plus difficile pour les outils antivirus classiques.

Des attaquants ciblent les développeurs de cryptomonnaies

Des chercheurs en sécurité d'ANY[.]RUN ont découvert une opération du groupe Lazarus baptisée « Mach-O Man ». Les pirates ont utilisé la même technique que ClickFix, via de fausses invitations à des réunions. Ils ont ciblé des entreprises de fintech et de cryptomonnaies où macOS est couramment utilisé.

Cryptopolitan a publié un article sur la campagne PromptMink.

Le groupe nord-coréen Famous Chollima a introduit un paquet npm malveillant dans un projet de trading de cryptomonnaies grâce à une modification générée par une intelligence artificielle. Utilisant une technique de déploiement à deux niveaux, le logiciel malveillant a pu accéder aux données du portefeuille et aux secrets du système.

Ces deux campagnes démontrent la valeur des données des portefeuilles de cryptomonnaies. Les attaquants adaptent leurs méthodes, passant de faux articles de blog à des compromissions de la chaîne d'approvisionnement assistées par l'IA, pour y accéder.