Une campagne d'infostealer AMOS exploite les annonces Google pour propager des malwares macOS via ChatGPT et Grok

Séraphine Clairlune

Une nouvelle campagne d’infostealer AMOS abuse des annonces Google Ads pour attirer les utilisateurs dans des conversations ChatGPT et Grok qui semblent offrir des “instructions utiles” mais qui mènent finalement à l’installation du logiciel malveillant AMOS sur macOS.

Une campagne d’infostealer AMOS exploite les annonces Google pour propager des malwares macOS via ChatGPT et Grok

Selon les chercheurs en cybersécurité, cette campagne récemment découverte représente une menace particulièrement subtile pour les utilisateurs de macOS. Les attaquants utilisent des stratégies d’ingénierie sociale sophistiquées en exploitant la confiance des utilisateurs dans les assistants d’IA populaires comme ChatGPT et Grok. Les utilisateurs de macOS sont de plus en plus ciblés par des campagnes de malwares sophistiquées qui explorent les nouvelles vulnérabilités liées à l’adoption massive des technologies d’IA.

Dans la pratique, cette attaque commence par des recherches liées à macOS sur Google. Les résultats incluent des publicités payantes qui dirigent directement vers des conversations préalablement créées sur ChatGPT et Grok. Ces conversations, hébergées sur des plateformes légitimes, contiennent des instructions malveillantes destinées à installer le malware AMOS. Les chercheurs de Kaspersky ont été les premiers à repérer cette campagne, tandis que la plateforme de sécurité Huntress a publié un rapport détaillé plus tard.

Le mécanisme d’attaque: ClickFix

Le mécanisme d’attaque, baptisé ClickFix par les chercheurs, exploite la confiance des utilisateurs dans les résultats de recherche et les plateformes d’IA. Le processus d’infection se déroule en plusieurs étapes très bien orchestrées:

  1. L’utilisateur effectue une recherche sur Google liée à macOS (maintenance, dépannage, ou pour Atlas, le navigateur web d’OpenAI pour macOS)
  2. Les résultats incluent des annonces Google Ads renvoyant à des conversations ChatGPT ou Grok malveillantes
  3. L’utilisateur, croyant trouver une solution légitime, exécute les commandes fournies dans le terminal macOS
  4. Ces commandes déclenchent le téléchargement et l’exécution de l’infostealer AMOS

“Lors de notre enquête, l’équipe Huntress a reproduit ces résultats empoisonnés sur plusieurs variations de la même question, ‘comment effacer les données sur iMac’, ’effacer les données système sur iMac’, ’libérer de l’espace de stockage sur Mac’, confirmant que ce n’est pas un résultat isolé mais une campagne d’empoisonnement délibérée et étendue ciblant des requêtes de dépannage courantes.”

Huntress researchers, rapport de sécurité Décembre 2025

L’exécution du malware: une technique d’ingénierie sociale raffinée

Une fois que les utilisateurs tombent dans le piège et exécutent les commandes de l’IA dans le terminal macOS, une URL encodée en base64 se décode en un script bash (nommé update) qui charge une fausse boîte de dialogue de demande de mot de passe.

#!/bin/bash
# Script malveillant AMOS
read -p "Entrez votre mot de passe pour continuer la mise à jour : " password
echo "$password" | base64 -d > /tmp/creds
# Le mot de passe est validé, stocké et utilisé pour exécuter des commandes privilégiées

Lorsque la victime fournit son mot de passe, le script le valide, le stocke et l’utilise pour exécuter des commandes privilégiées, notamment télécharger l’infostealer AMOS et l’exécuter avec des privilèges root. Cette technique exploite le fait que les utilisateurs sont plus susceptibles de saisir leur mot de passe s’ils croient qu’il s’agit d’une mise à système légitime.

Les conséquences pour les utilisateurs: Vol de données et compromission des crypto wallets

Les capacités de l’infostealer AMOS

AMOS, documenté pour la première fois en avril 2023, est une opération de type malware-as-a-service (MaaS) qui loue l’infostealer pour 1 000 $ par mois, ciblant exclusivement les systèmes macOS. Cette année, AMOS a ajouté un module de porte dérobée permettant aux opérateurs d’exécuter des commandes sur les hôtes infectés, d’enregistrer les frappes au clavier et de déposer des charges supplémentaires.

Le comportement d’AMOS sur un système compromis est particulièrement préoccupant:

  • Le malware est déposé dans /Users/$USER/ en tant que fichier caché (.helper)
  • Il analyse le dossier Applications pour Ledger Wallet et Trezor Suite
  • S’il les trouve, il les remplace par des versions trojanisées qui demandent à la victime d’entrer sa phrase de récupération “pour des raisons de sécurité”

Les cibles principales: crypto wallets et données sensibles

AMOS cible spécifiquement les portefeuilles de cryptomonnaies, représentant une menace directe pour la sécurité financière des utilisateurs. Les applications visées incluent:

  • Ledger Wallet
  • Trezor Suite
  • Electrum
  • Exodus
  • MetaMask
  • Ledger Live
  • Coinbase Wallet

Remplacement des applications de crypto wallets par des versions trojanisées

Le malware remplace ces applications par des versions malveillantes qui volent les informations de connexion et les phrases de récupération, donnant aux attaquants un contrôle total sur les actifs de la victime.

En plus des crypto wallets, AMOS vole également:

  • Les données de navigateur: cookies, mots de passe enregistrés, données de saisie automatique, jetons de session
  • Les données du Keychain macOS: mots de passe d’applications, identifiants Wi-Fi
  • Les fichiers sur le système de fichiers

Mécanismes de persistance et d’évasion

AMOS utilise plusieurs techniques pour assurer sa persistance sur le système infecté et éviter sa détection:

  • Un LaunchDaemon (com.finder.helper.plist) exécute un AppleScript caché qui agit comme une boucle de surveillance, redémarrant le malware en moins d’une seconde s’il est terminé
  • Le malware utilise des noms de fichiers et de processus qui imitent des composants système légitimes
  • Il exploite des vulnérabilités dans macOS pour contourner les mécanismes de sécurité

Se protéger face à cette menace: Bonnes pratiques et mesures de défense

Reconnaître les tentatives d’attaque

Face à cette campagne sophistiquée, il est essentiel de pouvoir reconnaître les tentatives d’attaque. Les signaux d’alarme à surveiller incluent:

  • Des résultats de recherche Google menant directement à des conversations ChatGPT ou Grok
  • Des demandes de saisie de mot de passe dans le terminal macOS
  • Des scripts bash nécessitant des privilèges élevés pour exécuter des tâches apparemment bénignes
  • Des invitations à exécuter des commandes systèmes depuis des sources non fiables

Les chercheurs de Kaspersky ont noté qu’un simple suivi en demandant à ChatGPT si les instructions fournies sont sûres à exécuter révèle qu’elles ne le sont pas. Cela souligne l’importance de la vérification avant d’exécuter toute commande trouvée en ligne.

Mesures de protection immédiates

Pour se protéger contre cette menace spécifique et d’autres malwares similaires, les utilisateurs de macOS devraient mettre en œuvre les mesures suivantes:

  1. Utiliser des logiciels de sécurité spécialisés pour macOS, capables de détecter les comportements suspects
  2. Mettre à jour régulièrement leur système d’exploitation et leurs applications
  3. Ne pas exécuter de commandes systèmes provenant de sources non vérifiées, même si elles semblent provenir d’assistants d’IA fiables
  4. Activer la protection contre les logiciels malveillants dans les préférences système
  5. Utiliser des gestionnaires de mots de passe fiables plutôt que de saisir des mots de passe dans des invites système

Tableau comparatif: Solutions de sécurité recommandées pour macOS

Solution de sécuritéAvantagesLimitationsPrix approximatif
Malwarebytes pour MacDétection efficace des menaces récentesPeut nécessiter des ressources systèmeGratuit / 39,99$/an
Intego Mac Internet SecuritySpécialisé macOS, intégration nativePeut être plus conservateur59,99$/an
Norton 360 with LifeLockProtection complète, inclut VPNPeut être lourd pour les anciens Mac99,99$/an
Sophos HomeInterface simple, efficaceMoins de fonctionnalités avancéesGratuit / 59,99$/an

Bonnes pratiques générales de sécurité

Au-delà des mesures spécifiques à cette menace, les bonnes pratiques suivantes sont essentielles pour sécuriser un macOS:

  • Sauvegardes régulières sur des supports externes ou dans le cloud
  • Utilisation d’un compte utilisateur standard pour le quotidien, réservant le compte administrateur pour les tâches nécessitant des privilèges
  • Activation du pare-feu et des protections système intégrées
  • Vigilance face aux pièces jointes et aux liens suspects dans les emails et les messages
  • Formation continue sur les nouvelles menaces et techniques d’ingénierie sociale

Mesures organisationnelles pour les entreprises

Pour les organisations utilisant des Macs, des mesures additionnelles sont nécessaires:

  1. Mise en place d’une politique BYOD (Bring Your Own Device) claire si les employés utilisent leurs propres appareils
  2. Déploiement d’une solution EDR (Endpoint Detection and Response) pour macOS
  3. Formation régulière des employés aux menaces de cybersécurité
  4. Tests de pénétration pour identifier les vulnérabilités spécifiques à macOS
  5. Plan de réponse aux incidents incluant les scénarios d’infection de macOS

L’évolution des menaces: Comment les attaquants explorent de nouveaux vecteurs d’attaque

L’exploitation des plateformes populaires

Les dernières attaques ClickFix illustrent une tendance inquiétante: les acteurs de menace expérimentent de nouvelles façons d’exploiter des plateformes légitimes et populaires comme OpenAI et X (anciennement Twitter). L’utilisation d’assistants d’IA comme vecteur d’attaque représente une évolution significative dans la tactique des cybercriminels.

Cette approche présente plusieurs avantages pour les attaquants:

  • Exploite la confiance naturelle des utilisateurs dans les plateformes d’IA
  • Utilise des infrastructures légitimes pour héberger des contenus malveillants
  • Contournement plus facile des filtres traditionnels de sécurité
  • Capacité à personnaliser les messages en fonction des recherches de l’utilisateur

Les tendances émergentes dans les menaces macOS

Le cas AMOS n’est pas isolé. Les chercheurs observent une augmentation significative des menaces spécifiquement conçues pour macOS, reflétant l’adoption grandissante de cette plateforme dans les entreprises et chez les particuliers. Les statistiques récentes montrent que:

  • Les attaques contre macOS ont augmenté de 230% en 2025 par rapport à 2024
  • 78% des organisations rapportent avoir été confrontées à au moins une tentative d’attaque ciblée macOS
  • Le coût moyen d’une infection malware sur macOS s’élève à 25 000 $, incluant la récupération des données et la remédiation

L’avenir de la sécurité macOS

Face à ces évolutions, l’industrie de la sécurité doit s’adapter. Les nouvelles approches de défense incluent:

  • Développement d’IA spécialisée pour détecter les comportements suspects dans les interactions avec les assistants d’IA
  • Renforcement des mécanismes de sandboxing pour les applications macOS
  • Collaboration accrue entre les éditeurs de logiciels et les chercheurs en sécurité
  • Éducation des utilisateurs sur les risques spécifiques liés à l’utilisation d’assistants d’IA

Conclusion: La vigilance, arme essentielle face aux menaces émergentes

Les dernières campagnes d’infostealer AMOS qui exploitent les annonces Google et les plateformes d’IA représentent un exemple frappant de l’évolution constante des menaces de cybersécurité. Les utilisateurs de macOS doivent comprendre que même les technologies les plus fiables peuvent être exploitées par des attaquants ingénieux.

La protection contre ces menaces nécessite une approche multi-couches combinant:

  • Technologie: logiciels de sécurité à jour et systèmes d’exploitation patchés
  • Comportement: vigilance constante et scepticisme envers les instructions provenant de sources non vérifiées
  • Éducation: compréhension des vecteurs d’attaque émergents et des techniques d’ingénierie sociale

Dans un paysage de cybersécurité en constante évolution, seule la vigilance et la connaissance des menaces émergentes permettront aux utilisateurs et aux organisations de se protéger efficacement contre des campagnes de plus en plus sophistiquées comme celle d’AMOS. En tant qu’utilisateurs de macOS, nous devons nous rappeler que la sécurité ne repose pas uniquement sur la technologie, mais aussi sur nos propres comportements et décisions.