Attention Mac : nouvelle campagne ClickFix installe l’infostealer AMOS via une image DMG piégée
Une opération d’ingénierie sociale ciblant les utilisateurs de macOS vient d’être décrite par des chercheurs de Palo Alto Networks. Baptisée ClickFix, cette campagne pousse la victime à télécharger et exécuter une image disque (.dmg) qui contient l’installateur d’AMOS (Atomic macOS Stealer). Le scénario est classique dans sa manipulation sociale mais particulièrement efficace : faux avertissements, faux CAPTCHA et consignes à copier dans le Terminal.
Comment se déroule l’infection ?
Le déroulé technique est limpide et illustre à quel point la confiance aveugle dans des instructions affichées par un navigateur peut coûter cher :
L’utilisateur visite un site compromis — ou créé de toutes pièces par les attaquants — qui affiche un faux message d’erreur, un avertissement de sécurité ou un CAPTCHA.
Pour « prouver » qu’il n’est pas un robot, la victime est invitée (sous la forme d’instructions sophistiquées et trompeuses) à copier une série de commandes dans le Terminal macOS.
Ces commandes téléchargent silencieusement une image DMG depuis un serveur contrôlé par les attaquants et la copient dans un répertoire temporaire sans affichage visuel.
La DMG est montée à l’aide de la commande « hdiutil attach -nobrowse », ce qui empêche son apparition dans le Finder ou sur le bureau.
Un installateur (.app ou .pkg) contenu dans l’image est recherché et lancé automatiquement via « open ». Dans cette campagne, l’application s’appelle NNApp.app et correspond à AMOS.
AMOS affiche ensuite une fausse fenêtre d’authentification pour subtiliser le mot de passe de la victime, puis commence l’exfiltration massive de données — identifiants, cookies, historiques de navigation, documents, messages Discord et Telegram, et informations de portefeuilles crypto.
Enfin, les données sont archivées (ZIP) puis envoyées au serveur distant des opérateurs.
Ce que vole AMOS et pourquoi c’est dangereux
AMOS n’est pas un simple voleur de mots de passe : il est conçu pour extraire des informations très variées et à haute valeur :
Identifiants et cookies de navigateurs (Chrome, Chromium‑based, Firefox, etc.) permettant le détournement de sessions.
Données de cartes bancaires si elles sont stockées ou accessibles via les sessions du navigateur.
Messages d’applications de messagerie (Discord, Telegram), susceptibles de contenir des informations sensibles ou des accès.
Renseignements présents dans les fichiers locaux et, surtout, clés et données de portefeuilles de cryptomonnaies (AMOS cible explicitement 13 types de wallets).
La combinaison de ces éléments permet aux malfaiteurs de réaliser des fraudes, usurpations d’identité, détournements financiers et réutilisations des comptes compromis dans des attaques ultérieures (phishing, fraude SIM swap, etc.).
Pourquoi la manœuvre marche encore malgré les protections
macOS introduit depuis la version 26.4 des alertes de sécurité lorsque des opérations potentiellement dangereuses sont exécutées via le Terminal. Cependant, les attaquants contournent déjà ces garde‑fous par deux leviers :
La tromperie sociale : en présentant des instructions techniques incompréhensibles pour l’utilisateur moyen et en expliquant qu’il doit agir pour « corriger » un problème urgent, les opérateurs exploitent la panique et l’empressement.
La technique : utilisation de commandes qui opèrent en arrière‑plan et montent les images sans interaction visuelle, rendant la campagne silencieuse et furtive.
Signes d’alerte et comportements à adopter immédiatement
Voici les indicateurs d’une attaque ClickFix/AMOS et les réflexes à adopter :
Ne jamais copier/coller des commandes reçues via un site web ou un message dans le Terminal sans en vérifier la source auprès d’une personne de confiance ou d’un service IT.
Méfiez‑vous des pages affichant de faux CAPTCHA ou messages d’erreur qui exigent des actions techniques.
Si une « réparation » automatique est proposée, préférez fermer l’onglet et analyser le site via un moteur de recherche ou via un outil de sécurité.
Sur macOS, surveillez les demandes répétées de mot de passe ou d’élévation de privilèges ; ne saisissez pas votre mot de passe dans une fenêtre dont vous ne pouvez pas vérifier la provenance.
Ayez des sauvegardes fiables et chiffrées ; en cas de compromission, elles permettront de restaurer un système propre.
Mesures techniques recommandées pour organisations et utilisateurs avancés
Déployer des solutions EDR/anti‑malware capables de détecter les comportements suspects (montage de DMG en mode silencieux, exécution automatique d’installers, accès massif aux profils de navigateur).
Restreindre l’usage du Terminal aux administrateurs et bloquer l’exécution de commandes provenant de sources non vérifiées via des politiques de sécurité (MDM, profiles de configuration).
Activer l’authentification multi‑facteur (MFA) partout où c’est possible — cela limite fortement l’impact du vol d’identifiants.
Isoler les environnements où des transactions sensibles sont effectuées (wallets, services bancaires) sur des machines dédiées et minimisées.
Maintenir macOS et les applications à jour : même si les attaquants contournent certaines protections, les correctifs réduisent la surface d’attaque globale.
Que fait Apple et quelle est la responsabilité des utilisateurs ?
Apple renforce progressivement les notifications et les garde‑fous sur macOS, mais la sécurité parfaite n’existe pas. La chaîne de compromission commence souvent par la confiance : un utilisateur qui exécute une commande malveillante outrepasse la plupart des protections. Les efforts d’Apple pour signaler les risques sont utiles, mais l’éducation des utilisateurs reste centrale. Les entreprises doivent combiner mesures techniques et formation continue pour réduire les incidents.
Conclusion opérationnelle — sans conclusion finale
La campagne ClickFix/AMOS démontre combien l’ingénierie sociale demeure l’arme favorite des attaquants : malgré des systèmes d’exploitation robustes, une simple instruction copiée dans un Terminal peut ouvrir la porte à un vol massif de données. Vigilance, MFA, protections techniques adaptées et bonnes pratiques d’usage sont les remparts disponibles aujourd’hui. Pour les utilisateurs, une règle simple : ne copiez jamais des commandes fournies par un site web ou un message non vérifié. Pour les organisations, la lutte implique la détection comportementale, les politiques d’accès restreint et la sensibilisation continue.
