Infostealer macOS : La campagne AMOS exploite ChatGPT et Grok via des publicités Google

Lysandre Beauchêne

Selon une récente analyse de Kaspersky, une campagne d’infostealer AMOS utilise des publicités Google trompeuses pour attirer les utilisateurs vers des conversations apparemment inoffensives sur ChatGPT et Grok, aboutissant finalement à l’installation d’un malware dangereux sur macOS. Cette menace représente un défi majeur pour la sécurité des utilisateurs de Mac, en exploitant la confiance que les gens accordent aux plateformes d’IA populaires.

La menace AMOS : un malware sophistiqué ciblant macOS

AMOS (Advanced Mac OS Stealer) est un malware-as-a-service (MaaS) particulièrement préoccupant qui se concentre exclusivement sur les systèmes macOS. Découvert pour la première fois en avril 2023, ce malware loué à 1 000 dollars par mois par ses opérateurs a récemment évolué pour inclure des fonctionnalités de backdoor avancées.

Les capacités techniques d’AMOS

AMOS se distingue par sa sophistication technique et sa capacité à contourner les défenses macOS traditionnelles. Lorsqu’il est installé sur un système, le malware se camoufle en tant que fichier caché (.helper) dans le répertoire /Users/$USER/. Cette discrétion initiale lui permet d’échapper à une détection facile par les utilisateurs non avertis.

Le malware a été conçu avec plusieurs modules de fonctionnalités clés :

  • Vol de données sensibles : Il cible spécifiquement les informations confidentielles stockées sur le système
  • Persistance avancée : Utilise des techniques pour assurer sa survie même après redémarrage du système
  • Élévation de privilèges : Obtient un accès root pour maximiser son impact

La stratégie de cible des portefeuilles de cryptomonnaie

L’une des tactiques les plus dangereuses d’AMOS est sa capacité à cibler les utilisateurs de cryptomonnaie. Le malware scanne activement le dossier des applications à la recherche de portefeuilles connus comme Ledger Wallet et Trezor Suite. Une fois identifiés, il remplace ces applications légitimes par des versions trojanisées qui demandent aux victimes d’entrer leur phrase de récupération “pour des raisons de sécurité”.

« Nous avons observé que AMOS utilise une approche subtile mais efficace pour compromettre les portefeuilles de cryptomonnaie, en exploitant la confiance que les utilisateurs placent dans leurs applications financières », explique un chercheur en sécurité de Kaspersky.

Cette méthode permet aux attaquants d’accéder directement aux fonds des utilisateurs sans nécessiter d’autres techniques d’ingénierie sociale. Les autres portefeuilles ciblés incluent Electrum, Exodus, MetaMask, Ledger Live, Coinbase Wallet, et bien d’autres.

La campagne d’attaque : Comment les publicités Google mènent à l’infection

La campagne d’attaque, nommée ClickFix par les chercheurs, représente une évolution inquiétante dans les tactiques d’ingénierie sociale. Elle exploite la popularité des moteurs de recherche et des plateformes d’IA pour tromper les utilisateurs les plus vigilants.

Le mécanisme d’attaque initial

Tout commence lorsque les utilisateurs effectuent des recherches sur macOS concernant des problèmes courants de maintenance, de dépannage ou pour Atlas, le navigateur web AI d’OpenAI pour macOS. Les publicités Google malveillantes apparaissent alors en haut des résultats de recherche, pointant directement vers des conversations ChatGPT et Grok apparemment utiles.

Ces conversations ont été soigneusement préparées et publiées à l’avance sur les plateformes LLM légitimes. Elles contiennent des instructions apparemment innocentes qui, une fois exécutées dans le Terminal macOS, initient le processus d’infection.

« Pendant notre enquête, l’équipe Huntress a reproduit ces résultats empoisonnés sur plusieurs variations de la même question, “comment effacer les données sur iMac”, “effacer les données système sur iMac”, “libérer de l’espace de stockage sur Mac”, confirmant qu’il ne s’agit pas d’un résultat isolé mais d’une campagne d’empoisonnement délibérée et généralisée ciblant les requêtes de dépannage courantes », expliquent les chercheurs de Huntress.

L’exécution du malware

Lorsque les utilisateurs tombent dans le piège et exécutent les commandes fournies dans les conversations d’IA, une chaîne d’événements malveillants se déclenche :

  1. Une URL encodée en base64 est décodée en un script bash nommé “update”
  2. Ce script charge une fausse boîte de dialogue de demande de mot de passe
  3. Lorsque l’utilisateur entre son mot de passe, le script le valide et le stocke
  4. Le mot de passe volé est ensuite utilisé pour exécuter des commandes privilégiées
  5. Finalement, le script télécharge et exécute l’infostealer AMOS avec des privilèges root

Tableau : Comparaison des caractéristiques techniques d’AMOS

CaractéristiqueDescription
Méthode de distributionPublicités Google malveillantes
Plateformes ciblesmacOS uniquement
Mécanisme de persistanceLaunchDaemon avec AppleScript masqué
Ciblage principalPortefeuilles de cryptomonnaie
Prix (MaaS)1 000 $/mois
Module récentBackdoor pour exécution de commandes à distance

Conséquences et impacts pour les utilisateurs et entreprises

Les conséquences d’une infection par AMOS sont graves et multifacettes, allant du vol de données financières à l’espionnage complet du système infecté.

Vol de données sensibles

AMOS est conçu pour voler une vaste gamme d’informations sensibles :

  • Données de navigateur : Cookies, mots de passe enregistrés, données de saisie automatique et jetons de session
  • Données de chaîne de clés macOS : Mots de passe d’applications et identifiants Wi-Fi
  • Fichiers système : N’importe quel fichier stocké sur le système de fichiers
  • Informations d’identification : Y compris les mots de passe système et les informations d’administration

Le module backdoor récent

Au début de 2025, les opérateurs d’AMOS ont ajouté un module backdoor particulièrement dangereux. Ce module permet aux attaquants :

  • D’exécuter des commandes à distance sur les hôtes infectés
  • D’enregistrer les frappes au clavier (keylogging)
  • De décharger des charges supplémentaires (droppers)
  • De maintenir un contrôle persistant sur les systèmes compromis

Impact sur les entreprises

Pour les entreprises utilisant macOS, une infection par AMOS peut avoir des conséquences dévastatrices :

  • Fuites de données confidentielles
  • Vol d’informations d’identification d’accès distant
  • Atteinte à la réputation due à des fuites de données
  • Coûts de remédiation importants
  • Pertes financières potentielles si des informations bancaires ou de cryptomonnaie sont compromises

Comment se protéger contre les infostealers macOS

La protection contre AMOS et autres menaces similaires nécessite une approche multi-couches combinant vigilance, bonnes pratiques de sécurité et outils appropriés.

Étapes immédiates pour les utilisateurs

  1. Évitez d’exécuter des commandes trouvées en ligne : Soyez particulièrement méfiant envers les instructions provenant de conversations publiques sur des plateformes comme ChatGPT ou Grok, surtout si elles demandent l’entrée de votre mot de passe.

  2. Vérifiez toujours les sources : Avant d’exécuter des commandes, vérifiez leur authenticité auprès de sources officielles ou de communautés de confiance.

  3. Utilisez des outils de sécurité spécialisés : Installez et maintenez à jour des solutions de sécurité conçues spécifiquement pour macOS.

  4. Soyez prudent avec les publicités : Méfiez-vous des publicités, même celles qui apparaissent dans des résultats de recherche légitimes comme Google.

Bonnes pratiques de sécurité pour les entreprises

  1. Formation continue des employés : Les employés doivent être formés aux menaces de sécurité émergentes et aux tactiques d’ingénierie sociale.

  2. Mises à jour régulières : Maintenez tous les systèmes et applications à jour pour bénéficier des derniers correctifs de sécurité.

  3. Principe du moindre privilège : Limitez les droits d’accès des utilisateurs et applications aux strictement nécessaires.

  4. Sauvegardes régulières : Mettez en place une stratégie de sauvegarde robuste et testée régulièrement.

  5. Surveillance des activités suspectes : Mettez en place des systèmes de détection et de réponse aux menaces pour identifier les activités anormales.

Outils de protection recommandés

Pour se protéger efficacement contre AMOS et autres menaces macOS, les organisations devraient considérer l’implémentation des solutions suivantes :

  • Solutions EDR (Endpoint Detection and Response) : Pour détecter et répondre aux menaces avancées
  • Systèmes de prévention des fuites de données (DLP) : Pour empêcher l’exfiltration de données sensibles
  • Outils de sandboxing : Pour analyser en toute sécurité les fichiers suspects
  • Solutions de filtrage web : Pour bloquer l’accès aux sites malveillants
  • Gestionnaire de mots de passe robuste : Pour stocker en toute sécurité les identifiants

Conclusion : La vigilance reste la meilleure défense

La campagne AMOS représentant une nouvelle évolution dans les tactiques d’ingénierie sociale exploitant la confiance des utilisateurs envers les plateformes d’IA populaires. En utilisant des publicités Google et des conversations ChatGPT et Grok apparemment inoffensives, les attaquants parviennent à installer un malware sophistiqué capable de voler des données sensibles, y compris des informations de cryptomonnaie.

La protection contre ces menaces nécessite une vigilance constante et une approche défensive multi-couches. Les utilisateurs doivent apprendre à reconnaître les tentatives d’ingénierie sociale et à vérifier toujours l’authenticité des instructions avant de les exécuter. Pour les entreprises, la mise en place de formations régulières, d’outils de sécurité spécialisés et de politiques de sécurité robustes est essentielle pour se protéger contre ces menaces émergentes.

En pratique, même après avoir atteint ces conversations LLM manipulées, une simple question de suivi demandant à ChatGPT si les instructions fournies sont sûres d’être exécutées peut révéler leur nature malveillante. Cette simple vérification pourrait éviter de nombreuses infections.

Face à une cybersécurance en constante évolution, la meilleure défense reste une combinaison de technologie éducative et de vigilance humaine. Restez informé des dernières menaces et ajustez continuellement votre posture de sécurité pour vous protéger contre les menaces émergentes comme AMOS.