Home Technologie et scienceLes publicités Google pour ChatGPT partagé et les guides Grok poussent les logiciels malveillants macOS infostealer

Les publicités Google pour ChatGPT partagé et les guides Grok poussent les logiciels malveillants macOS infostealer

by Thomas Caron

Publié le 11 décembre 2025 à 03:54:00. Une nouvelle campagne de malware ciblant les utilisateurs de macOS exploite les conversations publiques sur les intelligences artificielles ChatGPT et Grok pour diffuser un logiciel espion capable de voler des informations sensibles, notamment les identifiants de portefeuilles de cryptomonnaies.

  • Des publicités Google redirigent les utilisateurs vers des conversations ChatGPT et Grok compromises.
  • L’exécution de commandes issues de ces conversations installe discrètement le malware AMOS sur les systèmes macOS.
  • AMOS cible les portefeuilles de cryptomonnaies, les données de navigation et les informations d’identification stockées sur les appareils infectés.

Des chercheurs en cybersécurité ont mis en évidence une nouvelle campagne malveillante exploitant la popularité croissante des intelligences artificielles conversationnelles. Cette attaque, baptisée ClickFix, utilise des publicités Google pour attirer les victimes vers des échanges ChatGPT et Grok qui semblent fournir des solutions à des problèmes techniques courants sur macOS. En réalité, ces conversations contiennent des instructions malveillantes qui conduisent à l’installation du logiciel espion AMOS (Apple macOS Open Stealer).

L’alerte a été donnée initialement par Kaspersky le 10 décembre 2025, puis approfondie par la plateforme de sécurité Huntress, qui a publié un rapport détaillé sur le sujet.

La campagne commence lorsque les utilisateurs effectuent des recherches sur Google concernant macOS, par exemple pour résoudre des problèmes de maintenance, de dépannage ou pour obtenir des informations sur Atlas, le navigateur web alimenté par l’IA d’OpenAI pour macOS. Les publicités Google renvoient alors directement vers les conversations ChatGPT et Grok compromises, hébergées sur les plateformes LLM (Large Language Model) légitimes.

Selon Huntress, l’équipe de recherche a pu reproduire le problème en posant des questions simples telles que « comment effacer les données sur un iMac » ou « libérer de l’espace de stockage sur un Mac », confirmant qu’il ne s’agit pas d’un incident isolé mais d’une campagne d’empoisonnement délibérée ciblant les requêtes de dépannage courantes.

En exécutant les commandes fournies dans ces conversations dans le terminal macOS, les utilisateurs déclenchent l’exécution d’un script bash codé en base64. Ce script affiche une fausse boîte de dialogue demandant un mot de passe.

Une fois le mot de passe saisi, le script le valide, le stocke et l’utilise pour exécuter des commandes privilégiées, permettant ainsi le téléchargement et l’exécution du logiciel espion AMOS avec les droits d’administrateur.

AMOS, initialement documenté en avril 2023, est un malware-as-a-service (MaaS) qui génère environ 1 000 $ de revenus mensuels pour ses opérateurs, en ciblant exclusivement les systèmes macOS. Il a récemment été enrichi d’un module de porte dérobée permettant aux attaquants d’exécuter des commandes à distance, d’enregistrer les frappes au clavier et de déployer des charges utiles supplémentaires, comme l’a révélé BleepingComputer.

AMOS se dépose discrètement dans le dossier utilisateur sous la forme d’un fichier caché (.helper). Une fois lancé, il analyse le système à la recherche d’applications de portefeuilles de cryptomonnaies telles que Ledger Wallet et Trezor Suite. Si ces applications sont détectées, elles sont remplacées par des versions compromises qui demandent à la victime de saisir sa phrase de départ « pour des raisons de sécurité ».

Outre les portefeuilles de cryptomonnaies (Electrum, Exodus, MetaMask, Coinbase Wallet, etc.), AMOS cible également les données de navigation (cookies, mots de passe enregistrés, données de saisie automatique), les informations stockées dans le trousseau macOS (mots de passe d’applications, identifiants Wi-Fi) et les fichiers présents sur le système.

Pour assurer sa persistance, AMOS utilise un LaunchDaemon (com.finder.helper.plist) qui exécute un script AppleScript caché, surveillant en permanence le système et redémarrant le malware s’il est interrompu.

Cette attaque ClickFix illustre une nouvelle tendance inquiétante : l’exploitation de plateformes légitimes et populaires comme OpenAI et X (anciennement Twitter) par des acteurs malveillants. Les utilisateurs sont donc invités à la plus grande vigilance et à éviter d’exécuter des commandes provenant de sources inconnues ou mal comprises.

Kaspersky souligne que même après avoir accédé à ces conversations LLM manipulées, une simple question de suivi demandant à ChatGPT si les instructions fournies sont sûres révèle qu’elles ne le sont pas.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.