Campagne Atomic Stealer Exploite la Confiance de l'Éditeur de Scripts macOS
Les chercheurs en sécurité ont identifié une campagne de logiciels malveillants sophistiquée le 8 avril 2026, qui utilise l'Éditeur de Scripts macOS pour distribuer le malware Atomic Stealer. L'attaque représente une évolution dangereuse des tactiques ClickFix, allant au-delà de l'ingénierie sociale traditionnelle basée sur le navigateur pour exploiter les applications système de confiance. Les attaquants créent des scénarios convaincants qui incitent les utilisateurs à ouvrir l'Éditeur de Scripts et à exécuter des commandes AppleScript malveillantes, contournant la formation typique de sensibilisation à la sécurité qui se concentre sur l'exécution de commandes Terminal.
La campagne exploite la fonctionnalité légitime de l'Éditeur de Scripts pour exécuter du code nuisible tout en apparaissant comme une maintenance système ou un dépannage de routine. Contrairement aux attaques ClickFix précédentes qui reposaient sur de faux messages d'erreur dans les navigateurs web, cette variante crée des boîtes de dialogue système réalistes qui instruisent les utilisateurs à "réparer" des problèmes supposés en exécutant les scripts fournis. Le code AppleScript malveillant contient des commandes intégrées qui téléchargent et exécutent la charge utile Atomic Stealer depuis des serveurs distants.
Atomic Stealer, documenté pour la première fois au début de 2023, est devenu l'une des menaces macOS les plus persistantes. Le malware se spécialise dans la collecte de données sensibles, y compris les mots de passe des navigateurs, les fichiers de portefeuilles de cryptomonnaies et les identifiants système. Cette dernière campagne démontre l'adaptation des acteurs de la menace à une sensibilisation accrue à la sécurité autour de l'utilisation de Terminal, se tournant vers l'Éditeur de Scripts comme vecteur d'attaque moins scruté.
La chaîne d'attaque commence par des e-mails de phishing ou des sites web compromis affichant de faux messages d'erreur. Les utilisateurs reçoivent des instructions pour copier et coller un code AppleScript spécifique dans l'Éditeur de Scripts pour "résoudre" le problème fabriqué. Une fois exécuté, le script établit des mécanismes de persistance et commence les processus d'exfiltration de données. Les chercheurs en cybersécurité ont suivi plusieurs variantes de cette campagne à travers différents canaux de distribution.
Les Utilisateurs macOS de Toutes les Versions Risquent le Vol d'Identifiants
La campagne Atomic Stealer affecte toutes les versions macOS actuellement utilisées, de macOS Monterey 12.0 aux dernières versions macOS Sonoma 14.4. L'attaque n'exploite pas de vulnérabilités système spécifiques mais repose sur l'ingénierie sociale pour tromper les utilisateurs afin qu'ils exécutent volontairement du code malveillant. Les organisations avec des environnements fortement équipés de Mac sont particulièrement à risque, car le malware cible à la fois les identifiants personnels et professionnels stockés dans les trousseaux système et les gestionnaires de mots de passe des navigateurs.
Les utilisateurs de cryptomonnaies représentent des cibles de grande valeur pour cette campagne. Atomic Stealer recherche spécifiquement les fichiers de portefeuilles d'applications populaires, y compris Electrum, Exodus, Atomic Wallet et Coinomi. Le malware cible également les extensions de navigateur pour MetaMask, Phantom et d'autres portefeuilles Web3. Les institutions financières et les entreprises technologiques avec des déploiements macOS significatifs devraient mettre en place une surveillance supplémentaire pour une activité inhabituelle de l'Éditeur de Scripts et des tentatives d'accès non autorisées aux portefeuilles de cryptomonnaies.
La campagne menace particulièrement les utilisateurs qui interagissent fréquemment avec des scénarios de support technique ou des guides de dépannage logiciel. Les analystes en sécurité rapportent que les faux messages d'erreur imitent de près la documentation de support Apple légitime, rendant la détection difficile même pour les utilisateurs techniquement sophistiqués. Les travailleurs à distance et les développeurs qui utilisent régulièrement l'Éditeur de Scripts pour des tâches d'automatisation légitimes courent un risque accru en raison de leur familiarité avec l'application.
Stratégies de Détection et d'Atténuation pour l'Abus de l'Éditeur de Scripts
Les organisations devraient immédiatement mettre en place une surveillance pour des processus inhabituels de l'Éditeur de Scripts et des connexions réseau. Les administrateurs système peuvent utiliser Console.app pour surveiller les événements d'exécution AppleScript et configurer des outils de détection des points de terminaison pour signaler les processus de l'Éditeur de Scripts qui établissent des connexions réseau externes. Le malware contacte généralement les serveurs de commande et de contrôle dans les minutes qui suivent l'exécution, créant des modèles de trafic réseau détectables.
Les mesures préventives incluent la restriction de l'accès à l'Éditeur de Scripts via les Contrôles Parentaux macOS ou des solutions de gestion des appareils d'entreprise. Les organisations peuvent créer des politiques de sécurité personnalisées qui nécessitent l'approbation de l'administrateur pour l'exécution de l'Éditeur de Scripts ou bloquer complètement l'application pour les utilisateurs qui n'ont pas besoin de capacités d'automatisation. De plus, la mise en œuvre de listes blanches d'applications peut empêcher l'exécution non autorisée de scripts tout en maintenant la fonctionnalité de flux de travail légitime.
Les utilisateurs devraient vérifier toute instruction de dépannage via les canaux de support officiels d'Apple avant d'exécuter des scripts. Le support Apple légitime ne nécessite jamais que les utilisateurs exécutent du code AppleScript personnalisé pour résoudre des problèmes système. Les équipes de sécurité devraient mettre à jour les programmes de formation des utilisateurs pour inclure des scénarios d'abus de l'Éditeur de Scripts et établir des procédures d'escalade claires pour les demandes de support technique suspectes. Des audits réguliers des applications installées et des extensions de navigateur peuvent aider à identifier les indicateurs de compromission avant qu'une perte de données significative ne se produise.
