Accueil / Tech News / Clicklock : le nouveau piège qui verrouille votre Mac jusqu’à ce que vous cédiez

Clicklock : le nouveau piège qui verrouille votre Mac jusqu’à ce que vous cédiez

Recevez tous les soirs un résumé de l’actu importante avec Le Récap’

La toute première trace de cette menace remonte au 9 juin 2026, avec un script shell déposé sur VirusTotal. À ce moment-là, aucun des antivirus référencés sur la plateforme ne le repère comme malveillant. C’est précisément ce qui met la puce à l’oreille des chercheurs de Group-IB, qui livrent leurs conclusions dans une étude publiée le 16 juillet.

Baptisé ClickLock, en référence à la technique ClickFix qu’il exploite et au « verrouillage » qu’il impose à ses victimes, ce nouveau malware cible les utilisateurs de macOS, avec une préférence marquée pour les détenteurs de cryptomonnaies. Il s’en prend également à quiconque stocke des identifiants sensibles dans un navigateur ou un gestionnaire de mots de passe.

Signe de sa dangerosité, l’attaque ne requiert ni faille de sécurité ni élévation de privilèges pour fonctionner.

La porte d’entrée est une utilisation classique de la fameuse technique ClickFix, qui continue de faire des ravages. Sur une fausse page web imitant par exemple une vérification Cloudflare, la victime est incitée à coller une commande dans le Terminal de son Mac. Une fois la commande exécutée, une barre de progression factice s’affiche pour occuper l’utilisateur pendant que, en coulisses, plusieurs modules se téléchargent silencieusement.

Un second mécanisme, actif pendant près de 35 jours, force de la même façon l’autorisation d’accès au Trousseau macOS afin de récupérer la clé de chiffrement de Chrome.

Une fois les accès obtenus, un module collecte massivement les identifiants de huit navigateurs, les extensions de portefeuilles crypto, les applications de portefeuilles de bureau, les adresses blockchain, les historiques de shell ou encore les identifiants FTP. Le tout est compressé puis exfiltré vers un bot Telegram contrôlé par les attaquants. Les chercheurs ont également signalé l’installation d’une backdoor en fin de processus pour garantir un accès distant permanent, déguisée en processus lié à iCloud.

Selon Group-IB, l’opération reste à ce stade limitée, une centaine de victimes recensées dans 33 pays depuis le mois de mai, l’Europe concentrant plus de la moitié des cas. Les chercheurs estiment que la campagne malveillante est encore en développement.

Pour s’en prémunir, la règle reste la même que pour toutes les attaques ayant le ClickFix comme porte d’entrée : ne jamais coller de commande dans le Terminal à la demande d’un site web, quelle que soit son apparence.

Vous avez lu 0 articles sur Numerama ce mois-ci

Tout le monde n'a pas les moyens de payer pour l'information. C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez, voici trois bonnes raisons de soutenir notre travail :

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Le futur n’attend pas : anticipez l’avenir des nouvelles technologies et de l’IA en lisant gratuitement ToujoursPlus, chaque jeudi dans votre boîte mail !

Origine de l’article : lire l’article original
Traduction