Infostealer macOS : La nouvelle campagne AMOS exploite ChatGPT et Grok pour pirater vos Mac

Apollinaire Monteclair

Selon les chercheurs de Kaspersky et Huntress, une campagne d’infostealer AMOS particulièrement sophistiquée utilise des publicités Google pour tromper les utilisateurs et installer un malware sur leurs Mac. Infostealer macOS représente une menace émergente qui exploite la popularité des plateformes d’IA comme ChatGPT et Grok pour infiltrer les systèmes Apple. Cette attaque, nommée ClickFix, démontre comment les cybercriminels adaptent leurs méthodes pour cibler les utilisateurs de macOS avec des techniques de plus en plus sophistiquées.

Dans un paysage numérique où les utilisateurs de Mac se sentent souvent à l’abri des menaces traditionnellement associées aux systèmes Windows, cette campagne révèle une vulnérabilité inquiétante. Les attques ne ciblent plus seulement les entreprises mais aussi les particuliers, souvent moins équipés en matière de défense informatique. Selon un rapport récent, 37% des utilisateurs de Mac pensent à tort que leur système d’exploitation est immunisé contre les malwares, une perception dangereuse dans un contexte où les menaces ciblées augmentent de 68% en 2025 selon l’ANSSI.

L’attaque ClickFix : Comment les publicités Google piègent les utilisateurs

Cette campagne d’infostealer macOS commence de manière apparemment inoffensive. Lorsque les utilisateurs effectuent des recherches sur des problèmes courants liés à macOS - comme la maintenance, le dépannage, ou encore l’utilisation d’Atlas, le navigateur web AI d’OpenAI pour macOS - les résultats Google incluent désormais des publicités trompeuses. Ces publicités pointent directement vers des conversations ChatGPT et Grok préalablement créées par les attaquants et hébergées sur les plateformes légitimes.

« Lors de notre enquête, nous avons reproduit ces résultats empoisonnés sur plusieurs variations de la même question : ‘comment effacer les données sur iMac’, ’effacer les données système sur iMac’, ’libérer de l’espace de stockage sur Mac’, confirmant qu’il ne s’agit pas d’un résultat isolé mais d’une campagne d’empoisonnement délibérée et généralisée ciblant les requêtes de dépannage courantes. »

— Huntress Security Researchers

La particularité de cette attaque réside dans son utilisation de plateformes légitimes. Les conversations ChatGPT et Grok apparaissent comme des sources d’aide crédibles, mais contiennent en réalité des instructions malveillantes. Les victimes, pensant obtenir de l’aide pour résoudre un problème technique sur leur Mac, exécutent ces commandes sans méfiance.

Le mécanisme d’infection étape par étape

L’infection suit un processus bien rodé qui exploite la confiance des utilisateurs envers les plateformes d’IA :

  1. Recherche et clic : L’utilisateur effectue une recherche sur Google liée à macOS et clique sur une publicité sponsornée pointant vers une conversation ChatGPT ou Grok.
  2. Conversation trompeuse : La conversation semble offrir des instructions légitimes pour résoudre un problème technique (libérer de l’espace disque, etc.).
  3. Exécution des commandes : L’utilisateur copie et exécute les commandes fournies dans le Terminal macOS.
  4. Téléchargement du malware : Ces commandes déclenchent le téléchargement et l’exécution du infostealer macOS AMOS avec des privilèges root.

Une fois que l’utilisateur exécute les commandes provenant de la conversation malveillante dans le Terminal macOS, une chaîne base64 décode un script bash nommé « update ». Ce script, invisible à l’utilisateur, lance une fausse invite de demande de mot de passe.

# Script malveillant décodé
base64_string="[chaîne base64 codée]"
if [[ -z "$base64_string" ]]; then
  echo "Erreur de décodage"
  exit 1
fi
decoded_string=$(echo "$base64_string" | base64 -d)
echo "$decoded_string" > /tmp/update.sh
chmod +x /tmp/update.sh
/tmp/update.sh

Lorsque l’utilisateur saisit son mot de passe dans cette fausse interface, le script le valide, le stocke, et l’utilise ensuite pour exécuter des commandes privilégiées, notamment le téléchargement et l’exécution de l’infostealer macOS AMOS avec des droits root. Cette technique exploite la confiance naturelle des utilisateurs envers les interfaces système légitimes.

Les cibles privilégiées : utilisateurs Mac cherchant de l’aide

Cette campagne cible spécifiquement les utilisateurs de macOS qui cherchent de l’aide pour des problèmes techniques courants. Les attaquants ont identifié que les utilisateurs étaient plus susceptibles d’exécuter des commandes trouvées dans des conversations d’IA lorsqu’ils étaient confrontés à des problèmes techniques frustrants.

Les termes de recherche les plus visés par les publicités Google incluent :

  • « comment libérer de l’espace disque sur Mac »
  • « effacer les données système sur iMac »
  • « maintenance macOS »
  • « problèmes de performance Mac »
  • « Atlas OpenAI navigateur macOS »

Ces requêtes représentent des points de douleur courants pour les utilisateurs de Mac, ce qui explique pourquoi la campagne a réussi à atteindre un nombre significatif de victimes potentiels. Les attaquants ont créé des variations de ces conversations pour couvrir une large gamme de problèmes techniques, augmentant ainsi leurs chances de succès.

AMOS : Un malware sophistiqué conçu exclusivement pour macOS

AMOS (Advanced macOS OS trojan) représente une nouvelle génération de malwares spécifiquement conçus pour les systèmes Apple. Documenté pour la première fois en avril 2023, ce infostealer macOS opère selon un modèle « Malware-as-a-Service » (MaaS), où les attaquants peuvent louer le logiciel pour 1 000 dollars par mois. Cette approche permet à des cybercriminains moins techniques de déployer des attaques sophistiquées sans avoir à développer leurs propres outils.

Fonctionnalités et capacités du malware

AMOS intègre plusieurs fonctionnalités avancées qui en font une particulièrement dangereuse :

  • Vol de portefeuilles de cryptomonnaie : Le malware cible spécifiquement des applications comme Ledger Wallet, Trezor Suite, Electrum, Exodus, MetaMask, Ledger Live, Coinbase Wallet, etc.
  • Vol de données de navigateur : Cookies, mots de passe enregistrés, données de saisie automatique et jetons de session.
  • Accès au trousseau macOS : Mots de passe d’applications et identifiants Wi-Fi.
  • Analyse du système de fichiers : Recherche et extraction de fichiers sensibles.

Lorsqu’AMOS infecte un système, il remplace les applications de portefeuilles de cryptomonnaie légitimes par des versions trojanisées qui demandent aux victimes d’entrer leur phrase de récupération « pour des raisons de sécurité ». Une fois ces informations obtenues, les attaquants peuvent voler les fonds des victimes.

« AMOS a été observé en train de remplacer les applications de portefeuilles de cryptomonnaie par des versions malveillantes qui demandent aux utilisateurs d’entrer leur phrase de récupération sous le prétexte de mesures de sécurité supplémentaires. Une fois ces informations obtenues, les fonds sont instantanément transférés vers des portefeuilles contrôlés par les attaquants. »

— Rapport Huntress, Décembre 2025

Le modèle « Malware-as-a-Service » derrière l’attaque

Le modèle MaaS d’AMOS représente une évolution significative dans le paysage des menaces ciblant macOS. Au lieu de développer leurs propres outils, les cybercriminains peuvent désormais louer des malwares prêts à l’emploi pour une fraction du coût de développement. Cette approche démocratise l’accès aux outils d’attaque sophistiqués et augmente considérablement le nombre d’acteurs capables de mener des campagnes d’infostealer macOS.

En 2025, le marché du MaaS a connu une croissance de 45% par rapport à l’année précédente, selon une étude de Kaspersky. Cette augmentation s’explique en partie par la facilité d’utilisation de ces plateformes et leur coût relativement abordable pour des acteurs cybercriminels organisés.

AMOS a également évolué au fil du temps. Au début de l’année 2025, les chercheurs ont observé l’ajout d’un module de porte dérobade qui permet aux opérateurs d’exécuter des commandes sur les hôtes infectés, d’enregistrer les frappes au clavier et de déposer des charges supplémentaires. Cette capacité de persistance et de contrôle à distance transforme AMOS d’un simple infostealer en une plateforme d’attaque complète.

Conséquences et risques pour les victimes

L’impact d’une infection par AMOS va au-delà du simple vol de données. Les victimes d’un infostealer macOS comme AMOS font face à des risques multiples qui peuvent avoir des conséquences financières et réputationnelles graves.

Vol de portefeuilles de cryptomonnaie

L’une des conséquences les plus immédiates et les plus coûteuses de l’infection par AMOS est le vol de portefeuilles de cryptomonnaie. En remplaçant les applications légitimes par des versions malveillantes, le malware permet aux attaquants d’accéder directement aux fonds des victimes.

Le processus se déroule en trois étapes :

  1. AMOS détecte l’installation d’une application de portefeuille de cryptomonnaie.
  2. Il remplace l’application par une version trojanisée qui demande la phrase de récupération.
  3. Une fois cette phrase obtenue, les attaquants peuvent accéder au portefeuille et transférer les fonds.

Selon les données de la plateforme de lutte contre la cybercriminalité Chainalysis, les pertes liées au vol de cryptomonnaie ont atteint 4,2 milliards de dollars en 2025, une augmentation de 23% par rapport à l’année précédente. Les utilisateurs de macOS ne sont pas immunisés contre ces menaces, comme le démontre la campagne AMOS.

Vol de données sensibles et identité volée

Au-delà des cryptomonnaies, AMOS collecte une multitude d’autres données sensibles :

  • Données de navigateur : Mots de passe enregistrés, cookies, données de saisie automatique.
  • Données du trousseau macOS : Informations d’identification pour diverses applications, mots de passe Wi-Fi.
  • Fichiers système : Documents personnels, photos, informations professionnelles.

Ces données peuvent être utilisées pour des vols d’identité complète, des accès non autorisés aux comptes en ligne des victimes, ou pour des campagnes de phishing ciblé. Une fois que les attaquants ont obtenu ces informations, ils peuvent :

  • Accéder aux comptes bancaires en ligne.
  • Prendre le contrôle des comptes de réseaux sociaux.
  • Envoyer des e-mails frauduleux aux contacts de la victime.

Le coût moyen d’un vol d’identité aux États-Unis s’élevait à 1 335 dollars par victime en 2025, selon un rapport de l’Identity Theft Resource Center. En France, l’impact peut être tout aussi significatif, avec des coûts directs et indirects pouvant atteindre plusieurs milliers d’euros par victime.

Protéger votre Mac : Mesures de prévention et détection

Face à la menace croissante des infostealer macOS comme AMOS, les utilisateurs et les entreprises doivent mettre en place des stratégies de défense robustes. La prévention reste la meilleure approche pour se protéger contre ces attaques sophistiquées.

Signes d’une infection AMOS

Détecter une infection par AMOS peut être difficile, car le malware est conçu pour rester invisible le plus longtemps possible. Cependant, certains signes peuvent indiquer une infection potentielle :

  • Performances système dégradées : Le Mac devient lent ou répond lentement.
  • Processus suspects : Des processus inconnus ou inhabituels s’exécutent en arrière-plan.
  • Connexions réseau suspectes : Des communications réseau vers des adresses IP inconnues.
  • Applications de portefeuilles de cryptomonnaie modifiées : Une nouvelle version de l’application demande des informations supplémentaires.

Les administrateurs système peuvent également surveiller les points d’entrée suivants :

  • Modifications non autorisées des dossiers d’applications.
  • Tentatives d’exécution de scripts depuis des emplacements inhabituels.
  • Connexions réseau sortantes anormales.

Prévention et meilleures pratiques

Pour se protéger contre les infostealer macOS comme AMOS, les utilisateurs de Mac doivent adopter les meilleures pratiques suivantes :

Mesures de prévention individuelles

  1. Méfiance envers les instructions trouvées en ligne : Soyez particulièrement méfiant envers les commandes trouvées sur des forums ou des conversations d’IA, surtout si elles demandent des privilèges système.
  2. Vérification des sources : Avant d’exécuter des commandes, vérifiez leur authenticité auprès de sources officielles.
  3. Maintenir le système à jour : Les dernières versions de macOS incluent souvent des correctifs de sécurité pour les vulnérabilités connues.
  4. Utiliser un logiciel antivirus fiable : Installez et maintenez à jour un antivirus spécialisé dans la détection des menaces macOS.
  5. Sauvegardes régulières : Effectuez des sauvegardes régulières de vos données importantes sur un support externe non connecté en permanence.

Mesures de prévention pour les entreprises

Pour les entreprises, la protection contre les infostealer macOS nécessite une approche plus structurée :

StratégieDescriptionAvantagesLimites
Gestion des privilèges minimumRestreindre les droits d’administration aux seuls comptes nécessairesRéduit la surface d’attaquePeut affecter la productivité des utilisateurs légitimes
Segmentation du réseauDiviser le réseau en segments isolés pour limiter la propagationContient les infections potentiellesComplexité de mise en œuvre
Formation à la sécuritéSensibiliser les employés aux risques des infostealer macOSAméliore la résilience humaineNécessite des formations régulières
Solutions EDRDéployer des solutions de détection et réponse endpointsDétection précoce et réponse automatiséeCoût initial élevé

Détection et réponse aux infections

Si vous soupçonnez une infection par AMOS ou un autre infostealer macOS, suivez ces étapes :

  1. Isoler immédiatement le système infecté du réseau pour empêcher la propagation.
  2. Arrêter toutes les applications sensibles, notamment les portefeuilles de cryptomonnaie.
  3. Analyser le système avec un antivirus à jour et spécialisé macOS.
  4. Supprimer le malware selon les recommandations du fournisseur antivirus.
  5. Restaurer le système à partir d’une sauvegarde propre si nécessaire.
  6. Changer tous les mots de passe potentiellement compromis, en commençant par les comptes les plus sensibles.

Conclusion : Vigilance requise face aux nouvelles menaces

La campagne d’infostealer macOS AMOS représente une évolution inquiétante des techniques de cybercriminalité, exploitant la popularité des plateformes d’IA et la confiance des utilisateurs envers les outils légitimes. Comme le montrent les chercheurs de Kaspersky et Huntress, les attaquants continuent d’innover pour trouver de nouvelles façons de compromettre les systèmes macOS.

Dans un contexte où les menaces ciblées augmentent de 68% en 2025 selon l’ANSSI, la vigilance reste la meilleure défense. Les utilisateurs de Mac doivent comprendre qu’ils ne sont plus à l’abri des cybermenaces et adopter des pratiques de sécurité robustes. La vérification rigoureuse des sources, la méfiance envers les instructions trouvées en ligne, et l’utilisation d’outils de sécurité appropriés sont essentiels pour se protéger contre les infostealer macOS comme AMOS.

Face à cette menace évolutive, l’écosystème de la sécurité informatique doit également redoubler d’efforts pour développer des solutions de détection et de prévention adaptées aux spécificités des systèmes macOS. La collaboration entre chercheurs, fournisseurs de sécurité et utilisateurs finaux sera cruciale pour contenir la propagation de campagnes d’infostealer macOS comme celle-ci.

Enfin, cette campagne souligne l’importance de la formation continue à la sécurité, tant pour les particuliers que pour les professionnels. Alors que les cybercriminains exploitent de plus en plus les technologies émergentes pour leurs attaques, la sensibilisation et l’éducation restent nos meilleures armes pour protéger nos systèmes et nos données.