Campagne de malware AMOS : comment les publicités Google trompent les utilisateurs macOS

Théophane Villedieu

Selon les chercheurs en cybersécurité, les attaques contre les systèmes macOS ont augmenté de 400% au cours des 18 derniers mois, révélant une vulnérabilité croissante souvent sous-estimée. Une nouvelle campagne de malware AMOS exploite actuellement des publicités Google pour attirer les utilisateurs dans des conversations ChatGPT et Grok apparemment inoffensives, conduisant finalement à l’installation d’un infostealer redoutable sur leurs machines.

Ces campagnes malveillantes représentent une évolution préoccupante des tactiques d’ingénierie sociale, où les auteurs d’attaques exploitent la confiance des utilisateurs dans des plateformes légitimes comme OpenAI et X pour propager leur logiciel malveillant. Dans cet article, nous examinerons en détail le fonctionnement de cette menace, ses conséquences potentielles pour les utilisateurs macOS, et les mesures de protection essentielles à adopter.

Le mécanisme d’attaque ClickFix expliqué

L’attaque, baptisée ClickFix par les chercheurs, suit un processus méthodique et particulièrement subtil qui exploite la confiance des utilisateurs dans les moteurs de recherche et les assistants IA. Tout commence lorsque les utilisateurs effectuent des recherches relatives à macOS, posant des questions sur la maintenance, la résolution de problèmes ou encore sur des applications spécifiques comme Atlas - le navigateur web alimenté par l’IA d’OpenAI pour macOS.

Les publicités Google malveillantes apparaissent alors en haut des résultats de recherche, menant directement vers des conversations ChatGPT et Grok qui ont été préparées à l’avance pour l’attaque. Ces conversations sont hébergées sur les plateformes légitimes d’IA et contiennent des instructions apparemment utiles qui, une fois exécutées, installent le malware AMOS. Dans la pratique, nous avons observé que ces publicités sont soigneusement optimisées pour correspondre aux requêtes courantes des utilisateurs, les rendant particulièrement difficiles à distinguer des résultats légitimes.

Le processus d’infection étape par étape

Lorsqu’un utilisateur clique sur l’une de ces publicités, il est redirigé vers une conversation préexistante sur ChatGPT ou Grok. Ces conversations semblent offrir une aide technique précieuse, mais contiennent en réalité des commandes dangereuses. Une fois l’utilisateur convaincu d’exécuter ces commandes dans le Terminal macOS, une chaîne base64 est décodée en un script bash nommé “update”.

Ce script bash affiche une fausse invite de saisie de mot de passe, conçue pour tromper l’utilisateur. Lorsque la victime entre son mot de passe, le script le valide, le stocke, puis l’utilise pour exécuter des commandes privilégiées, notamment le téléchargement et l’exécution du malware AMOS avec des privilèges root-level. Cette technique est particulièrement ingénieuse car elle exploite la confiance des utilisateurs dans les interfaces de commande système tout en utilisant des méthodes d’ingénierie sociale éprouvées.

“Pendant notre enquête, notre équipe a reproduit ces résultats empoisonnés sur plusieurs variations de la même question, ‘comment effacer les données sur iMac’, ’effacer les données système sur iMac’, ’libérer de l’espace de stockage sur Mac’, confirmant que ce n’est pas un résultat isolé mais une campagne d’empoisonnement délibérée et généralisée ciblant des requêtes de dépannage courantes.”

Les dangers du malware AMOS pour les utilisateurs Mac

AMOS, documenté pour la première fois en avril 2023, représente une menace particulièrement sophistiquée pour les utilisateurs macOS. Ce logiciel malveillant fonctionne selon un modèle Malware-as-a-Service (MaaS), où les opérateurs le louent pour 1 000 dollars par mois, et se concentre exclusivement sur les systèmes macOS, démontrant une spécialisation inquiétante des auteurs d’attaques.

Au début de l’année 2025, les chercheurs ont observé que les opérateurs d’AMOS ont ajouté un module backdoor permettant d’exécuter des commandes sur les hôtes infectés, d’enregistrer les frappes de clavier et de déposer des charges supplémentaires. Cette évolution transforme AMOS d’un simple infostealer en une plateforme d’attack complète offrant un contrôle continu sur les systèmes compromis.

Vol de portefeuilles de cryptomonnaie et autres données sensibles

Une fois installé, AMOS se place dans le répertoire /Users/$USER/ sous forme de fichier caché (.helper). Lors de son exécution, il scanne le dossier Applications à la recherche de Ledger Wallet et Trezor Suite. Si ces applications sont détectées, AMOS les remplace par des versions trojanisées qui demandent à la victime d’entrer sa phrase de récupération “pour des raisons de sécurité”.

Application cibléeType de volImpact potentiel
Ledger WalletPhrase de récupérationVol complet des cryptomonnaies
Trezor SuitePhrase de récupérationVol complet des cryptomonnaies
ElectrumMots de passeAccès aux comptes de cryptomonnaie
MetaMaskClés privéesVol des fonds dans les contrats intelligents
macOS KeychainTous les mots de passeAccès à tous les comptes en ligne

En plus des portefeuilles de cryptomonnaie, AMOS cible également d’autres applications et données sensibles :

  • Portefeuilles de cryptomonnaie : Electrum, Exodus, MetaMask, Ledger Live, Coinbase Wallet et bien d’autres
  • Données de navigateur : cookies, mots de passe enregistrés, données de saisie automatique, jetons de session
  • Données macOS : mots de passe d’applications, identifiants Wi-Fi
  • Fichiers sur le système de fichiers

La capacité d’AMOS à cibler spécifiquement les applications de gestion de cryptomonnaie représente une menace financière directe et majeure pour les utilisateurs, avec des pertes potentiellement conséquentes difficiles à récupérer.

Mécanismes de persistance du malware

Pour garantir sa persistance sur le système infecté, AMOS utilise un LaunchDaemon nommé com.finder.helper.plist qui exécute un script AppleScript caché. Ce script agit comme une boucle de surveillance, redémarrant le malware en moins d’une seconde s’il est arrêté par l’utilisateur ou par un logiciel de sécurité.

Cette technique de persistance particulièrement résiliente rend l’éradication du malware extrêmement difficile, même pour les utilisateurs techniques. Une fois installé, AMOS continue de fonctionner en arrière-plan, volant continuellement des données sensibles jusqu’à ce que l’infection soit détectée et éliminée correctement.

Comment se protéger contre ce type d’attaque

Face à cette menace évolutive, il est impératif d’adopter une approche proactive de la sécurité. Les utilisateurs macOS doivent être particulièrement vigilants quant aux sources des informations qu’ils consultent et des commandes qu’ils exécutent. Voici les mesures essentielles à mettre en place pour se protéger efficacement contre les campagnes comme ClickFix.

Signes d’alerte à reconnaître

La première ligne de défense reste la reconnaissance des indicateurs d’attaque. Les utilisateurs doivent apprendre à identifier les signes suivants qui pourraient indiquer une tentative d’escroquerie :

  • Publicités Google menant directement à des conversations ChatGPT ou Grok
  • Conseils techniques demandant d’exécuter des commandes dans le Terminal
  • Instructions suggérant d’entrer des mots de passe dans des pop-up non officiels
  • Promesses de solutions miracles pour des problèmes courants de macOS
  • Liens ou scripts provenant de sources non vérifiées

Dans la pratique, les chercheurs de Kaspersky ont noté que même après avoir atteint ces conversations LLM manipulées, une simple question de suivi demandant à ChatGPT si les instructions fournies sont sûres à exécuter révèle rapidement leur caractère malveillant. Cette vérification simple pourrait prévenir de nombreuses infections.

Mesures préventives essentielles

Pour se protéger contre les menaces comme AMOS, les utilisateurs macOS doivent mettre en place plusieurs couches de protection :

  1. Toujours vérifier les sources : Avant d’exécuter des commandes trouvées en ligne, vérifiez leur authenticité auprès de sources officielles ou de communautés réputées.

  2. Utiliser des logiciels de sécurité spécialisés : Installez et maintenez à jour un logiciel antivirus/anti-malware spécifiquement conçu pour macOS.

n3. Mettre à jour régulièrement le système : Les mises à jour macOS incluent souvent des correctifs de sécurité essentiels pour les dernières menaces connues.

  1. Activer le Gatekeeper et le Xprotect : Ces fonctionnalités de sécurité intégrées à macOS bloquent l’exécution de logiciels non signés ou non approuvés.

  2. Ne pas entrer de mots de passe dans des pop-up suspects : Les fenêtres de saisie de mots de passe provenant de scripts non officiels doivent toujours être considérées comme suspectes.

Que faire en cas d’infection

Si vous soupçonnez ou confirmez que votre Mac est infecté par AMOS ou un autre malware, il est crucial d’agir rapidement pour limiter les dommages :

  1. Isolez immédiatement le système : Déconnectez le Mac d’Internet pour empêcher le malware de communiquer avec ses serveurs command-and-control.

  2. Changez tous vos mots de passe : À partir d’un appareil sain, modifiez tous vos mots de passe importants, notamment ceux de vos comptes bancaires, e-mail et cryptomonnaie.

  3. Scannez votre système avec un logiciel de sécurité réputé : Utilisez des outils spécialisés pour détecter et éliminer le malware.

  4. Consultez un professionnel : Si vous n’êtes pas certain d’éliminer complètement l’infection, faites appel à un expert en cybersécurité macOS.

  5. Réinstallez le système : Dans les cas graves, une réinstallation complète du système d’exploitation est souvent la seule solution garantie pour éliminer toutes traces du malware.

Recommandations de sécurité pour les utilisateurs macOS

Au-delà des mesures spécifiques contre les campagnes comme ClickFix, les utilisateurs macOS devraient adopter une approche holistique de la sécurité pour se protéger contre la gamme complète des menaces existantes et émergentes. Cela implique à la fois des pratiques personnelles et l’utilisation d’outils technologiques appropriés.

Bonnes pratiques quotidiennes

Les habitudes des utilisateurs constituent la première ligne de défense contre les logiciels malveillants. Voici les pratiques recommandées :

  • Soyez méfiant envers les offres trop belles pour être vraies : Les promotions inhabituelles ou les solutions miraculeuses à des problèmes complexes sont souvent des leurres.

  • Évitez les sites web non sécurisés : Recherchez toujours le cadenas HTTPS dans la barre d’adresse avant de saisir des informations sensibles.

  • Ne téléchargez des logiciels que depuis des sources officielles : Le Mac App Store et les sites web des développeurs sont les seules sources fiables.

  • Lisez attentivement les demandes de permission : Soyez particulièrement vigilant lorsque des applications demandent un accès élevé à votre système.

  • Sauvegardez régulièrement vos données : Une stratégie de sauvegarde 3-2-1 (trois copies, sur deux supports différents, dont une hors site) est essentielle.

Outils de sécurité recommandés

Pour compléter les bonnes pratiques, les utilisateurs macOS devraient considérer l’utilisation des outils suivants :

  • Antivirus spécialisé macOS : Des solutions comme Malwarebytes for Mac, Bitdefender Antivirus for Mac ou Norton 360 pour Mac offrent une protection proactive contre les menaces.

  • Gestionnaire de mots de passe : Utilisez des applications robustes comme 1Password, Bitwarden ou LastPass pour stocker et générer des mots de passe forts et uniques.

  • VPN pour une navigation sécurisée : Un service VPN comme NordVPN, ExpressVPN ou Surfshark chiffre votre trafic internet et protège votre vie privée.

  • Système de détection d’intrusion : Des outils comme Little Snitch ou Hands Off! contrôlent les connexions réseau sortantes et alertent sur les communications suspectes.

  • Système de sandboxing : Utilisez des technologies comme la fonctionnalité de sandboxing native de macOS ou des applications comme Sandie pour isoler les processus potentiellement dangereux.

Mise à jour et maintenance du système

La maintenance proactive de votre système macOS est essentielle pour maintenir un niveau de sécurité élevé :

  • Mettez à jour régulièrement macOS : Les mises à jour automatiques ou semi-automatiques garantissent que vous bénéficiez des derniers correctifs de sécurité.

  • Mettez à jour toutes vos applications : Les vulnérabilités dans les logiciels tiers sont souvent exploitées par les attaquants.

  • Supprimez les logiciels inutilisés : Chaque application supplémentaire représente une surface d’attaque potentielle.

  • Activez FileVault : Ce chiffrement de disque intégré à macOS protège vos données en cas de vol physique de l’appareil.

  • Audit des permissions d’application : Vérifiez régulièrement quelles applications ont accès à vos données sensibles et ajustez ces permissions.

Conclusion : rester vigilant face aux nouvelles menaces

Les campagnes ClickFix représentent un avertissement clair sur l’évolution constante des tactiques d’attaques. En exploitant la confiance des utilisateurs dans des plateformes légitimes comme ChatGPT et Grok, les auteurs de menaces trouvent constamment de nouvelles façons d’atteindre leurs cibles. La campagne AMOS utilisant Google Ads illustre parfaitement cette tendance inquiétante où les frontières entre contenu légitime et contenu malveillant deviennent de plus en plus floues.

Face à ces menaces émergentes, la vigilance reste la meilleure arme de défense. Les utilisateurs macOS doivent adopter une approche proactive de la sécurité, en vérifiant toujours les sources des informations, en évitant d’exécuter des commandes non vérifiées, et en maintenant leurs systèmes et applications à jour. La combinaison de bonnes pratiques personnelles et d’outils technologiques appropriés constitue la meilleure stratégie de protection contre les logiciels malveillants comme AMOS.

Dans le paysage actuel de la cybersécurité, où chaque nouvelle campagne apporte son lot d’innovations malveillantes, rester informé et adopter une posture de défense en profondeur n’est plus une option mais une nécessité. En suivant les recommandations présentées dans cet article, les utilisateurs macOS peuvent significativement réduire leur risque d’infection et protéger leurs données sensibles contre les menaces les plus sophistiquées.