Le malware Infinity Stealer cible macOS en combinant la technique ClickFix et le compilateur Nuitka pour dérober identifiants et données sensibles des navigateurs.
En bref
- Un nouveau malware baptisé Infinity Stealer cible spécifiquement macOS en combinant la technique ClickFix et le compilateur Nuitka pour échapper à la détection.
- Les utilisateurs de Mac sont piégés par de faux CAPTCHA Cloudflare qui déclenchent l'exécution de code malveillant.
- Le malware vole identifiants, cookies de session, données de navigateurs Chromium et Firefox, puis exfiltre le tout vers un serveur de commande et contrôle.
Ce qui s'est passé
Les chercheurs de Malwarebytes ont identifié fin mars 2026 une nouvelle campagne de vol d'informations ciblant les utilisateurs macOS. Le malware, baptisé Infinity Stealer, se distingue par une chaîne d'infection particulièrement sophistiquée. La victime est d'abord dirigée vers une page web imitant une vérification CAPTCHA de Cloudflare. Cette technique, connue sous le nom de ClickFix, incite l'utilisateur à exécuter une commande dans le Terminal macOS en pensant résoudre un simple contrôle de sécurité.
Une fois exécuté, le payload Python est compilé en binaire natif à l'aide de Nuitka, un compilateur open source qui transforme le code Python en code C puis en exécutable. Contrairement à PyInstaller, qui empaquette du bytecode facilement décompilable, Nuitka produit un véritable binaire natif sans couche de bytecode apparente, ce qui complique considérablement l'analyse statique et la détection par les antivirus.
Selon Malwarebytes, c'est la première campagne documentée sur macOS combinant la technique ClickFix avec un infostealer Python compilé via Nuitka. Le malware prend des captures d'écran, collecte les identifiants stockés dans les navigateurs Chromium et Firefox, récupère les cookies de session et les données de formulaires, puis exfiltre l'ensemble via des requêtes HTTP POST vers son serveur C2. Une notification Telegram est envoyée aux attaquants à la fin de l'opération.
Pourquoi c'est important
macOS a longtemps bénéficié d'une réputation de système plus sûr face aux malwares. Cette campagne illustre une tendance de fond : les cybercriminels investissent de plus en plus dans des outils spécifiquement conçus pour la plateforme Apple. L'utilisation de Nuitka comme compilateur représente une évolution technique significative car elle rend les méthodes classiques de détection basées sur l'analyse de bytecode Python totalement inefficaces.
La technique ClickFix, apparue d'abord sur Windows, gagne désormais macOS. Elle exploite la confiance des utilisateurs envers les vérifications CAPTCHA légitimes. Les entreprises équipées de flottes Mac, notamment dans les secteurs créatifs et technologiques, doivent adapter leurs politiques de sécurité pour inclure une sensibilisation spécifique à ce vecteur d'attaque.
Ce qu'il faut retenir
- Ne jamais exécuter de commande Terminal proposée par un site web, même si celui-ci ressemble à un CAPTCHA Cloudflare légitime.
- Mettre à jour les solutions EDR pour inclure la détection des binaires Nuitka suspects sur macOS.
- Surveiller les connexions HTTP sortantes inhabituelles et les notifications Telegram depuis les postes de travail.
Comment reconnaître une attaque ClickFix sur macOS ?
Une attaque ClickFix se manifeste par une fausse page de vérification CAPTCHA qui demande d'ouvrir le Terminal et de coller une commande. Aucun site légitime ne demande jamais d'exécuter des commandes Terminal pour passer un CAPTCHA. En cas de doute, fermez l'onglet et accédez au site directement via son URL officielle.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactTélécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
FortiGate : campagne active de vol de credentials ciblant santé et gouvernement
Une campagne active cible les FortiGate pour extraire des credentials LDAP et infiltrer les réseaux santé, gouvernement et MSP. 14 700 équipements déjà compromis dans le monde.
n8n : CISA alerte sur une RCE exploitée, 24 700 instances exposées
CISA ajoute la faille RCE n8n CVE-2025-68613 à son catalogue KEV. 24 700 instances restent exposées sur Internet. Une seconde vulnérabilité CVE-2026-27577 aggrave le risque.
CVE-2026-20131 : Interlock exploite un zero-day Cisco FMC
Le ransomware Interlock exploite la faille critique CVE-2026-20131 (CVSS 10.0) dans Cisco Secure Firewall Management Center comme zero-day depuis janvier 2026. Correctif disponible, application urgente recommandée.
Commentaires (1)
Laisser un commentaire