Infostealer macOS : Comment les publicités Google et plateformes IA deviennent des vecteurs d'attaque

Églantine Montclair

Selon les chercheurs de Kaspersky, une campagne de malwares AMOS exploite actuellement les publicités Google pour tromper les utilisateurs et infecter leurs systèmes macOS via des conversations ChatGPT et Grok apparemment inoffensives. Cette menace représente un tournant dangereux dans les cyberattaques qui ciblent désormais les plateformes d’intelligence artificielle pour propager des logiciels malveillants. Dans un contexte où l’utilisation des assistants IA explose, les utilisateurs doivent être particulièrement vigilants face à ces nouvelles techniques d’hameçonnage sophistiquées.

Ces dernières années, macOS était considéré comme relativement à l’abri des menaces majeures comparé à Windows. Cependant, la popularité croissante des systèmes Apple en fait une cible de plus en plus attractive pour les cybercriminels. L’attaque en question, baptisée ClickFix, démontre comment les attaquants exploitent notre confiance dans les plateformes légitimes pour tromper même les utilisateurs les plus avertis.

Le mécanisme de l’attaque ClickFix

L’attaque ClickFix commence lorsque les utilisateurs effectuent des recherches liées à macOS, telles que des questions de maintenance, des problèmes de dépannage ou des requêtes concernant Atlas, le navigateur web alimenté par l’IA d’OpenAI pour macOS. Les publicités Google malveillantes redirigent directement vers des conversations ChatGPT et Grok qui avaient été partagées publiquement en prévision de l’attaque. Ces conversations sont hébergées sur les plateformes LLM légitimes et contiennent des instructions malveillantes conçues pour installer le malware AMOS sur macOS.

“Lors de notre enquête, l’équipe Huntress a reproduit ces résultats empoisonnés à travers de multiples variations de la même question : ‘comment effacer les données sur iMac’, ’effacer les données système sur iMac’, ’libérer de l’espace de stockage sur Mac’, confirmant qu’il ne s’agit pas d’un résultat isolé mais d’une campagne d’empoisonnement délibérée et généralisée ciblant des requêtes de dépannage courantes.”

Cette citation des chercheurs de Huntress met en lumière l’étendue de la campagne et sa sophistication. Les attaquants ont minutieusement préparé des scénarios pour tromper les utilisateurs qui cherchent simplement des solutions à leurs problèmes techniques quotidiens. L’utilisation de plateformes IA populaires comme ChatGPT et Grok ajoute une couche de crédibilité particulièrement efficace pour tromper les victimes.

Exécution du script malveillant

Lorsque les utilisateurs tombent dans le panneau et exécutent les commandes issues de la conversation d’IA dans le Terminal de macOS, une URL encodée en base64 est décodée en un script bash nommé ‘update’. Ce script affiche ensuite une fausse boîte de dialogue demandant le mot de passe de l’utilisateur.

Lorsque le mot de passe est fourni, le script le valide, le stocke et l’utilise pour exécuter des commandes privilégiées, telles que le téléchargement du infostealer AMOS et son exécution avec des privilèges root. Cette technique d’élévation de privilèges est particulièrement insidieuse car elle exploite la confiance de l’utilisateur en lui faisant croire qu’il installe une mise à jour légitime ou un utilitaire système.

En pratique, nous avons observé que les victimes sont souvent des utilisateurs techniques cherchant des solutions rapides à leurs problèmes macOS. Le manque de méfiance envers les instructions provenant de plateformes d’IA réputées les rend particulièrement vulnérables à ce type d’attaque.

AMOS : le malware derrière l’attaque

AMOS (Advanced Malware for OS) a été documenté pour la première fois en avril 2023. Il s’agit d’une opération de type malware-as-a-service (MaaS) qui loue l’infostealer pour 1 000 $ par mois, ciblant exclusivement les systèmes macOS. Ce modèle commercial pour les malwares permet même aux acteurs moins techniques de lancer des attaques sophistiquées sans nécessiter une expertise en développement logiciel complète.

Fonctionnalités et capacités

Au début de 2025, AMOS a ajouté un module backdoor qui permet aux opérateurs d’exécuter des commandes sur les hôtes infectés, d’enregistrer les frappes au clavier et de déposer des charges supplémentaires. Cette fonctionnalité de contrôle à distance étend considérablement les capacités d’espionnage et d’extraction de données du malware.

AMOS est déposé dans le répertoire /Users/$USER/ sous forme de fichier caché (.helper). Lorsqu’il est lancé, il analyse le dossier des applications à la recherche de Ledger Wallet et Trezor Suite. Si ces applications sont trouvées, elles sont remplacées par des versions trojanisées qui demandent à la victime d’entrer sa phrase de seed “pour des raisons de sécurité”.

Ciblage spécifique des portefeuilles cryptos

L’un des aspects les plus préoccupants d’AMOS est sa focalisation sur le vol de portefeuilles de cryptomonnaies. Le malware cible non seulement Ledger Wallet et Trezor Suite, mais aussi :

  • Electrum
  • Exodus
  • MetaMask
  • Ledger Live
  • Coinbase Wallet
  • Et de nombreuses autres applications de gestion de cryptomonnaies

Le vol de phrases de seed et de clés privées représente une menace financière directe et potentiellement dévastatrice pour les victimes. Une fois ces informations compromises, les attaquants peuvent accéder directement aux portefeuilles numériques et voler les fonds sans possibilité de récupération.

En outre, AMOS cible également :

  • Les données de navigateurs : cookies, mots de passe enregistrés, données de saisie automatique et jetons de session
  • Les données du trousseau macOS (Keychain) : mots de passe d’applications et identifiants Wi-Fi
  • Les fichiers du système de fichiers

Impact et conséquences pour les utilisateurs

L’impact d’une infection AMOS va bien au-delà du simple vol de données. La persistance du malware grâce à un LaunchDaemon (com.finder.helper.plist) exécutant un AppleScript caché crée une situation de contrôle continu du système infecté. Ce mécanisme agit comme une boucle de surveillance, redémarrant le malware en moins d’une seconde s’il est terminé par un utilisateur ou un logiciel de sécurité.

Vol de données sensibles

Les conséquences d’une infection AMOS sont multiples et graves :

  1. Vol d’identité : Accès aux informations personnelles sensibles stockées dans le trousseau macOS
  2. Espionnage : Suivi des activités en ligne via l’enregistrement des frappes au clavier et la capture des données de session
  3. Vol de cryptomonnaies : Accès direct aux portefeuilles numériques et vol des fonds
  4. Piratage de comptes : Utilisation des cookies et mots de passe volés pour accéder aux comptes en ligne

“Ces dernières attaques ClickFix sont un autre exemple des acteurs de la menace qui expérimentent de nouvelles manières d’exploiter des plateformes légitimes et populaires comme OpenAI et X. Les utilisateurs doivent rester vigilants et éviter d’exécuter des commandes trouvées en ligne, surtout s’ils ne comprennent pas complètement ce qu’elles font.”

Cette déclaration des chercheurs de Kaspersky souligne l’évolution constante des techniques d’attaque et l’importance de l’éducation des utilisateurs. La confiance dans les plateformes technologiques peut être exploitée si les utilisateurs ne sont pas formés aux risques potentiels et aux bonnes pratiques de sécurité.

Persistance et contrôle à distance

La persistance d’AMOS est particulièrement difficile à éliminer. Le LaunchDaemon et l’AppleScript caché garantissent que le malware redémarre automatiquement, même après un redémarrage du système. Cette caractéristique technique rend l’éradication complète du malware complexe et nécessite souvent une intervention experte.

Une fois installé, AMOS agit comme une porte dérobée vers le système de la victime. Les attaquants peuvent :

  • Exécuter des commandes arbitraires
  • Télécharger et exécuter d’autres logiciels malveillants
  • Voler des données à intervalles réguliers
  • Maintenir un contrôle permanent sur l’appareil infecté

Protection et prévention

Face à cette menace évolutive, plusieurs mesures de protection et de prévention peuvent être mises en œuvre pour sécuriser les systèmes macOS.

Mesures de sécurité recommandées

  1. Mise à jour régulière du système : Les dernières versions de macOS incluent souvent des correctifs de sécurité pour les vulnérabilités connues
  2. Utilisation d’un logiciel antivirus réputé : Les solutions de sécurité spécialisées dans macOS peuvent détecter et bloquer les menaces comme AMOS
  3. Restriction des exécutions de scripts : Configurer macOS pour ne pas autoriser l’exécution automatique des scripts
  4. Pratiques de sauvegarde régulières : Permettent de récupérer les données en cas d’infection
  5. Sécurisation des portefeuilles cryptos : Utilisation de solutions matériel et stockage hors ligne des phrases de seed

Bonnes pratiques pour les utilisateurs

La vigilance reste la première ligne de défense contre les menaces comme AMOS. Voici quelques pratiques essentielles :

  • Vérifier toujours la source des conseils techniques avant d’exécuter des commandes
  • Ne jamais entrer de mots de passe dans des boîtes de dialogue non sollicitées
  • Se méfier des instructions trop simples promettant des solutions complexes
  • Utiliser des sources officielles pour les guides de dépannage
  • Questionner la légitimité des instructions, même si elles proviennent de plateformes d’IA réputées

Kaspersky a noté qu’après avoir atteint ces conversations LLM manipulées, une simple question de suivi demandant à ChatGPT si les instructions fournies sont sûres d’être exécutées révèle qu’elles ne le sont pas. Cette vérification simple peut empêcher de nombreuses infections, mais la plupart des utilisateurs ne pensent pas à effectuer cette étape de confirmation.

Critères de reconnaissance d’une attaque potentielle

Pour aider les utilisateurs à identifier les tentatives d’attaque comme ClickFix, voici une liste de critères d’alerte :

CritèreSigne d’alerteAction recommandée
Source des instructionsVia publicité Google ou lien non vérifiéVérifier la source originale avant exécution
Demande de mot de passeBoîte de dialogue inattendueNe jamais entrer de mots de passe dans des fenêtres non sollicitées
Complexité excessive des commandesScripts complexes pour des tâches simplesRechercher des alternatives auprès de sources officielles
Promesses de résultats immédiatsSolutions trop belles pour être vraiesMéfiance et vérification auprès de plusieurs sources

Étapes à suivre en cas d’infection suspectée

Si vous suspectez une infection par AMOS ou un similaire malware, suivez ces étapes :

  1. Isoler immédiatement l’appareil du réseau pour empêcher la propagation
  2. Arrêter les processus suspects via l’Activity Monitor
  3. Supprimer les fichiers suspects identifiés par votre logiciel antivirus
  4. Changer tous les mots de passe importants depuis un appareil sain
  5. Effectuer une analyse approfondie avec plusieurs outils de sécurité
  6. Consulter un professionnel si l’infection persiste

Conclusion : rester vigilant face aux nouvelles menaces

L’attaque ClickFix représentée par le malware AMOS démontre comment les cybercriminels s’adaptent rapidement aux nouvelles technologies et à nos habitudes numériques. L’exploitation des plateformes d’intelligence artificielle pour propager des malwares marque une évolution préoccupante du paysage des menaces informatiques.

Alors que l’utilisation des assistants IA devient de plus en plus courante dans notre vie quotidienne et professionnelle, il est crucial de développer une culture de sécurité numérique qui intègre ces nouvelles technologies. La confiance dans les outils technologiques ne doit jamais être aveugle, mais toujours accompagnée d’une vigilance critique et d’une compréhension des risques potentiels.

En 2025, alors que les menaces continueront d’évoluer, l’éducation des utilisateurs et l’adoption de pratiques de sécurité robustes resteront nos meilleures défenses. La protection des systèmes macOS, autrefois considérés comme relativement à l’abri, nécessite maintenant une attention égale à celle accordée aux autres plateformes.

En tant que professionnels de la sécurité informatique, nous observons avec inquiétude l’augmentation des campagnes exploitant notre dépendance croissante aux technologies d’IA. La vigilance collective et la formation continue sont essentielles pour contrer ces menaces émergentes et protéger les utilisateurs et les organisations contre les conséquences potentiellement dévastatrices de ces attaques sophistiquées.