MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Kaspersky Threat Research a récemment détecté une campagne ciblant les utilisateurs Mac. Cette attaque exploite des publicités Google payantes et des conversations partagées sur le site officiel de ChatGPT. Elle incite les utilisateurs à exécuter une commande qui installe l’infostealer AMOS (Atomic macOS Stealer) ainsi qu’une backdoor persistante sur leurs appareils.
Les cyberattaquants exploitent des annonces de recherche sponsorisées ciblant des requêtes telles que « chatgpt atlas ». Ces annonces mènent les utilisateurs à une page se présentant comme un guide d’installation pour « ChatGPT Atlas pour macOS », hébergée sur chatgpt.com. Il s’agit en réalité d’une conversation ChatGPT partagée, générée via de l’ingénierie de prompt, puis épurée pour ne laisser que des instructions d’installation étape par étape. Ce faux guide invite les utilisateurs à copier une unique ligne de code, à l’exécuter dans le Terminal de macOS, et à accorder toutes les autorisations demandées.
L’analyse de Kaspersky révèle que la commande télécharge et exécute un script depuis le domaine externe atlas-extension[.]com. Le script sollicite à plusieurs reprises le mot de passe système de l’utilisateur, qu’il vérifie en tentant d’exécuter des commandes système. Une fois que le mot de passe correct est fourni, le script télécharge l’infostealer AMOS, l’installe à l’aide des identifiants volés, et lance le malware. L’infection est une variation de la technique dite du "ClickFix", dans laquelle les utilisateurs sont persuadés d’exécuter manuellement des commandes shell qui récupèrent et exécutent du code à partir de serveurs à distance.
Une fois installé, AMOS procède à la collecte de données susceptibles d’être monétisées ou réutilisées pour de futures intrusions. Le malware cible spécifiquement les informations de navigation (mots de passe, cookies et autres données issues de navigateurs populaires), les portefeuilles de cryptomonnaies (données issues d’applications telles qu’Electrum, Coinomi et Exodus), ou les applications de messagerie et VPN (informations provenant de Telegram Desktop et OpenVPN Connect). De plus, AMOS recherche des fichiers avec des extensions TXT, PDF et DOCX situés dans les dossiers Bureau, Documents et Téléchargements, ainsi que les données stockées par l’application Notes, puis les exfiltre vers une infrastructure contrôlée par l’attaquant. Parallèlement, le malware installe une backdoor configurée pour démarrer automatiquement lorsque l’utilisateur redémarre son appareil. Il permet ainsi au cyberattaquant d’avoir un accès à distance au système compromis, et de dupliquer une grande partie de la collecte de données d’AMOS.
Cette campagne illustre une tendance plus large : les infostealers se sont révélés être l’une des menaces à la croissance la plus rapide en 2025, avec des cybercriminels qui exploitent activement les thèmes, les faux outils et le contenu généré par l’IA pour renforcer la crédibilité de leurs attaques. Les campagnes récentes incluent des fausses barres latérales de navigateur basées sur l’IA et des clients frauduleux dans le cadre de modèles populaires. L’activité liée à la campagne "Atlas" s’inscrit dans cette lignée et vient détourner une fonctionnalité légitime de partage de contenu intégrée à une plateforme d’IA.
« L’efficacité de cette campagne ne réside pas dans une prouesse technique sophistiquée, mais dans l’habileté de l’ingénierie sociale, qui exploite un contexte d’IA familier », a commenté Vladimir Gursky, Malware Analyst chez Kaspersky. « Un lien sponsorisé dirige vers une page d’apparence professionnelle sur un domaine de confiance, et le ’guide d’installation’ se résume à une simple commande Terminal. Pour beaucoup d’utilisateurs, cette combinaison de crédibilité et de simplicité suffit à désarmer leur méfiance habituelle. Pourtant, le résultat est une compromission totale du système, offrant à l’attaquant un accès durable. »
