Que se passe-t-il quand un malware renonce à pirater votre ordinateur et vous convainc de le faire vous-même ? C’est le pari d’Infiniti Stealer, un programme malveillant repéré cette semaine par les chercheurs de Malwarebytes Labs, qui cible exclusivement les Mac. Sa méthode : une fausse page de vérification Cloudflare, un CAPTCHA bidon, et une simple instruction. « Ouvrez Terminal, collez cette commande, appuyez sur Entrée. » Une fois fait, c’est terminé. Mots de passe, trousseau iCloud, portefeuilles crypto, fichiers sensibles : tout part vers un serveur distant en quelques secondes.
La technique ClickFix franchit la frontière Mac
Le procédé porte un nom dans le milieu de la cybersécurité : ClickFix. Il est apparu sur Windows courant 2025 et repose sur un principe redoutablement simple. Plutôt que d’exploiter une faille logicielle, les attaquants misent sur l’utilisateur lui-même. Une page web imitant un service connu (ici Cloudflare) affiche un faux test anti-robot et demande de coller une commande dans le terminal du système. Sur Windows, c’était PowerShell. Sur Mac, c’est Terminal.
Selon Malwarebytes, Infiniti Stealer constitue la première campagne documentée combinant la technique ClickFix avec un voleur d’informations compilé via Nuitka sur macOS. La distinction est technique mais son impact est concret : là où les malwares Python classiques empaquettent du bytecode facilement détectable par les antivirus, Nuitka convertit le code Python en C puis le compile en binaire natif. Le résultat ressemble à une application Mac ordinaire, et les outils de détection classiques peinent à l’identifier.
Un faux Cloudflare, un vrai vol de données
La chaîne d’infection débute sur le domaine update-check.com, selon l’analyse publiée par Malwarebytes Labs le 26 mars. La page reproduit fidèlement l’écran de vérification humaine de Cloudflare. L’utilisateur se voit demander d’ouvrir Terminal via Commande + Espace, puis de coller une commande encodée en base64. Derrière cette commande anodine se cache un script Bash qui télécharge un exécutable de 8,6 mégaoctets, supprime le drapeau de quarantaine qu’Apple attribue à tout fichier téléchargé, lance le programme en arrière-plan, puis s’efface et ferme la fenêtre Terminal.
Ce premier binaire n’est qu’un conteneur. Il décompresse environ 35 mégaoctets de données pour libérer la charge finale : UpdateHelper.bin, le véritable voleur. BleepingComputer, qui a relayé la découverte, précise que le malware vérifie d’abord s’il tourne dans un environnement de test (VMware, VirtualBox, les sandbox en ligne any.run ou Joe Sandbox) avant de commencer à collecter quoi que ce soit. Il introduit aussi un délai aléatoire pour tromper les systèmes d’analyse automatisée.
Mots de passe, trousseau, cryptomonnaies : le butin est large
Une fois actif, Infiniti Stealer ratisse large. Le programme cible les identifiants stockés dans Chrome, Edge, Brave et tous les navigateurs basés sur Chromium, ainsi que Firefox. Il aspire les entrées du trousseau macOS (Keychain), ce coffre-fort censé protéger les mots de passe Wi-Fi, les certificats et les clés d’accès aux services Apple. Les portefeuilles de cryptomonnaies ne sont pas épargnés, pas plus que les fichiers .env, ces fichiers texte que les développeurs utilisent pour stocker des clés d’API, des tokens d’authentification et d’autres secrets en clair.
Le malware prend aussi des captures d’écran pendant son exécution, potentiellement pour récupérer des informations affichées à l’écran au moment de l’infection. L’ensemble des données volées est envoyé par requêtes HTTP POST vers le serveur de contrôle. Forbes rapporte que l’opérateur reçoit ensuite une notification via Telegram pour confirmer la réussite de l’exfiltration, et que les identifiants collectés sont placés dans une file d’attente de craquage de mots de passe côté serveur.
Le mythe du Mac « immunisé » s’effrite encore
Ce qui rend Infiniti Stealer significatif, au-delà de sa liste de cibles, c’est ce qu’il révèle sur l’évolution des menaces visant macOS. Pendant des années, le discours dominant voulait que les Mac soient naturellement moins exposés aux malwares. La réalité a changé. Elastic Security Labs estimait dès 2024 que macOS représentait environ 6 % des infections par malware, un chiffre en progression régulière. VoidStealer, repéré plus tôt ce mois-ci, ciblait déjà Chrome sur Mac. Le package malveillant Telnyx, découvert sur PyPI la même semaine qu’Infiniti Stealer, cachait un voleur de données dans un fichier audio WAV et touchait potentiellement 740 000 développeurs, dont une proportion croissante travaille sous macOS.
La technique ClickFix elle-même illustre cette migration. Née dans l’écosystème Windows, elle a été adaptée en quelques mois pour macOS avec des instructions spécifiques au système : Commande + Espace pour ouvrir Spotlight, puis Terminal, puis coller. Selon le blog NPAV Security, la fausse page Cloudflare est suffisamment convaincante pour piéger des utilisateurs expérimentés. Car le piège ne repose pas sur une méconnaissance technique. Il exploite un réflexe : quand un site de confiance demande une vérification, on s’exécute.
Trois réflexes pour ne pas tomber dans le piège
La parade est aussi simple que l’attaque est vicieuse : ne jamais coller dans Terminal une commande trouvée sur un site web. Aucun CAPTCHA légitime, Cloudflare ou autre, ne demande d’ouvrir une console système. Si une page vous y invite, c’est une arnaque, sans exception. Malwarebytes recommande aux utilisateurs qui auraient pu être exposés de changer immédiatement leurs mots de passe depuis un appareil sain, en commençant par la messagerie, les comptes bancaires et l’identifiant Apple. Les sessions actives doivent être révoquées, les clés SSH et tokens d’API régénérés.
La prochaine étape pour les attaquants semble tracée. Si Nuitka s’avère efficace pour contourner les défenses de macOS, d’autres campagnes adopteront la même approche, prévient Malwarebytes. Apple a renforcé les protections de Gatekeeper et du système de notarisation au fil des mises à jour de macOS, mais ces garde-fous présupposent que l’utilisateur ne désactive pas lui-même les alertes. Quand c’est la victime qui tape la commande, la meilleure des protections logicielles ne peut plus rien.
