BasedApparel.com, le site de merchandising co-créé par Kash Patel avant qu'il ne devienne directeur du FBI, héberge une attaque qui piège les utilisateurs de Mac. Le principe : un faux CAPTCHA Cloudflare qui pousse la victime à coller une commande dans le Terminal. En fasse, un logiciel qui vole les mots de passe et les portefeuilles de cryptomonnaies.
Tout commence par une fausse page Cloudflare
L'histoire a de quoi faire glousser. Kash Patel, l'actuel patron du FBI, a co-fondé avec Andrew Ollis une marque de vêtements, Based Apparel, avant de prendre ses fonctions. Sauf que voilà, son site marchand sert aujourd'hui de relais à une attaque informatique. En arrivant sur BasedApparel.com, certains visiteurs tombaient sur une fausse page Cloudflare, le service qui gère habituellement les tests Vérifiez que vous êtes humain. La page affiche un avertissement, Trafic web inhabituel détecté, et réclame une vérification. Rien d'alarmant pour un internaute pressé.
Visuel : PCMag
Un voleur de mots de passe caché dans une commande
C'est ensuite que ça dérape. La fausse page demande d'ouvrir le Terminal, l'outil de macOS qui exécute des commandes, puis de cliquer sur un bouton Copier. Le texte affiché ressemble à une innocente ligne de vérification. En réalité, le bouton copie tout autre chose : une longue suite de caractères illisibles, une commande masquée. La victime la colle dans le Terminal, la lance, et déclenche sans le savoir le téléchargement d'un script malveillant depuis un serveur contrôlé par les pirates. Ce type d'attaque porte un nom, le ClickFix, et il fait des dégâts depuis plusieurs années chez les utilisateurs les moins méfiants.
C'est une internaute portugaise qui a tiré la sonnette d'alarme. Elle est tombée dessus après avoir lu un article de presse sur Kash Patel qui renvoyait vers le site. Curieuse, elle a récupéré le script malveillant. Passé au crible de VirusTotal, le code a été classé par 27 moteurs antivirus comme cheval de Troie et voleur d'informations. Écrit en AppleScript et emballé deux fois en base64, il récupère les mots de passe stockés dans les navigateurs basés sur Chromium et les données des portefeuilles de cryptomonnaies, les compresse, puis les expédie aux pirates.
Apple a justement prévu un garde-fou
Le plus probable, c'est qu'un pirate a compromis une partie de BasedApparel.com. Les attaques ClickFix se propagent souvent comme ça : vol d'identifiants de sites légitimes, panneaux d'administration mal protégés, extensions vulnérables. Based Apparel n'a pas répondu aux demandes de commentaire. Bonne nouvelle quand même, Apple a ajouté dans macOS Tahoe 26.4 une protection qui bloque et alerte l'utilisateur quand il colle dans le Terminal une commande récupérée ailleurs. De quoi gêner ce genre d'arnaque.
On en dit quoi ?
Il y a quelque chose d'assez improbable à voir le site d'un directeur du FBI servir de tremplin à un malware. L'attaque elle-même n'a rien de nouveau, et Patel n'y est pour rien directement : son site a été piraté comme beaucoup d'autres. Mais quand on dirige l'agence chargée, entre autres, de traquer la cybercriminalité, on aimerait probablement que sa propre boutique en ligne soit un peu mieux tenue. Et sinon, rappel utile : on ne colle jamais une commande dans le Terminal juste parce qu'une page web le demande.
