Des chercheurs en sécurité ont mis au jour une campagne où des conversations publiques sur ChatGPT et Grok, promues via des résultats sponsorisés Google, incitent des utilisateurs de Mac à exécuter une commande Terminal installant le malware MacStealer (AMOS). Cette souche vole des mots de passe iCloud, des fichiers et des données de carte bancaire.
Le suivi de cette opération a été relayé par Sam Chapman sur Engadget ici, s’appuyant sur l’analyse publiée par Huntress là.
Méthode employée
Les attaquants ont introduit une commande malveillante au sein d’un échange avec ChatGPT, rendu public, puis ont acheté des annonces pour faire apparaître ce lien en tête des résultats Google liés au nettoyage de macOS. Une démarche identique a été observée avec le chatbot Grok.
En suivant les étapes présentées comme un « nettoyage système sûr », la victime exécute la commande dans Terminal. Celle-ci télécharge un variant d’AMOS, élève les privilèges jusqu’à root et installe un mécanisme de persistance. Le stealer collecte ensuite des identifiants iCloud, des fichiers et des informations de paiement.
Requêtes ciblées
- Libérer de l’espace de stockage sur Mac
- Effacer de l’espace disque sur macOS
- Comment effacer des données sur iMac
- Effacer les données système sur iMac
Pourquoi cette technique est efficace
La chaîne d’attaque exploite la confiance accordée aux marques et aux plateformes légitimes. L’exécution volontaire d’une commande par l’utilisateur contourne les protections intégrées de macOS, réduisant les alertes et facilitant l’infection.
Coller des commandes Terminal non comprises expose à des risques élevés, en particulier lorsqu’elles proviennent de résultats sponsorisés.
Un commentaire
Clean my Mac est-il concerné ? merci, bonne journée