Selon Cryptopolitan, PANews a rapporté le 11 mai que l’équipe de recherche en sécurité de Microsoft a découvert que des attaquants diffusent, depuis fin 2025, de faux guides de dépannage macOS pour inciter les utilisateurs à exécuter des commandes malveillantes dans le terminal, afin de voler des portefeuilles cryptographiques, des données iCloud et des mots de passe enregistrés dans les navigateurs. Ces faux guides, publiés sur des plateformes comme Medium, Craft et Squarespace, ciblent des problèmes courants des utilisateurs, tels que libérer de l’espace disque ou réparer des erreurs système, les amenant à copier-coller des commandes malveillantes dans le terminal. Ces commandes téléchargent et exécutent automatiquement des logiciels malveillants.
Cette technique d’ingénierie sociale, connue sous le nom de ClickFix, contourne le mécanisme de sécurité Gatekeeper de macOS car la victime exécute activement les commandes. Les familles de logiciels malveillants impliqués incluent AMOS, Macsync et SHub Stealer, capables de dérober les clés de portefeuilles cryptographiques d’Exodus, Ledger et Trezor, ainsi que les noms d’utilisateur et mots de passe enregistrés dans Chrome et Firefox. Dans certains cas, les attaquants suppriment également les applications de portefeuille légitimes pour les remplacer par des versions cheval de Troie. Apple a ajouté une protection contre le collage de commandes potentiellement malveillantes dans macOS 26.4.
