Malware macOS : la nouvelle campagne AMOS abuse des publicités Google pour tromper les utilisateurs

Selon une étude récente, 34% des attaques ciblant les systèmes macOS en 2025 provenaient de campagnes d’ingénierie sociale sophistiquées utilisant des plateformes d’IA légitimes. Une nouvelle campagne d’infostealing AMOS vient de révéler une méthode particulièrement inquiétante : l’exploitation des publicités Google pour promouvoir des guides ChatGPT et Grok apparemment inoffensifs mais contenant en réalité des instructions malveillantes destinées à infecter les ordinateurs Mac.

Qu’est-ce que la campagne AMOS et comment fonctionne-t-elle ?

La campagne AMOS représente une évolution préoccupante dans le paysage des menaces cybernétiques ciblant les utilisateurs macOS. Découverte fin 2025 par les chercheurs de Kaspersky puis détaillée par Huntress, cette campagne utilise une approche particulièrement subtile : l’empoisonnement des résultats de recherche Google pour rediriger les victimes vers des conversations préalablement préparées sur ChatGPT et Grok.

“Nous avons observé une augmentation de 217% des campagnes d’ingénierie sociale ciblant macOS au cours des six derniers mois, avec une forte prédominance des techniques utilisant des plateformes d’IA légitimes comme vecteurs d’attaque”, déclare un analyste de sécurité de Kaspersky.

L’attaque, baptisée ClickFix par les chercheurs, commence lorsque les utilisateurs recherchent des solutions à des problèmes courants sur macOS. Que ce soit pour des questions de maintenance, de dépannage ou pour trouver des informations sur Atlas, le navigateur web alimenté par IA d’OpenAI pour macOS, les résultats de recherche sont truffés de publicités Google menant directement vers des conversations apparemment légitimes.

Ces conversations sont hébergées sur les plateformes LLM légitimes mais ont été soigneusement préparées par les attaquants. Elles contiennent des instructions qui semblent tout à fait normales au premier abord, mais qui, une fois exécutées dans le Terminal macOS, déclenchent une série d’actions malveillantes.

Les acteurs derrière cette campagne

AMOS, le malware utilisé dans cette campagne, n’est pas une nouveauté sur la scène de la cybersécurité. Documenté pour la première fois en avril 2023, ce malware-as-a-service (MaaS) opère selon un modèle économique particulier : loue son infostealing aux cybercriminels pour la somme de 1 000 $ par mois.

Ce qui rend AMOS particulièrement dangereux est sa spécialisation exclusive pour les systèmes macOS. Contrairement à de nombreux autres malwares qui visent principalement Windows, AMOS a été conçu dès le départ pour contourner les défenses spécifiques d’Apple.

Le mécanisme d’empoisonnement des résultats

Le processus d’empoisonnement des résultats de recherche est une méthode particulièrement efficace et difficile à détecter pour les utilisateurs moyens. Les attaquants préparent des conversations sur ChatGPT et Grok, contenant des instructions malveillantes dissimulées dans un contexte apparemment légitime.

Ces conversations sont ensuite rendues publiques et les attaquants achètent des publicités Google qui s’affichent en haut des résultats de recherche pour des termes pertinents comme “comment effacer les données sur iMac”, “libérer de l’espace de stockage sur Mac”, etc.

Lorsqu’un utilisateur clique sur ces publicités, il arrive directement sur la conversation préparée, ce qui donne une crédibilité immédiate au contenu. Le fait que la conversation soit hébergée sur une plateforme légitime comme ChatGPT ou Grok renforce cette crédibilité.

Les détails techniques de l’attaque ClickFix

L’attaque ClickFix repose sur une séquence d’actions soigneusement orchestrées qui exploitent la confiance des utilisateurs envers les assistants IA. Comprendre le déroulement technique précis de cette attaque est essentiel pour développer des défenses efficaces.

L’initiation de l’attaque

Tout commence lorsque l’utilisateur tape une requête liée à macOS dans Google. Selon Huntress, les attaquants ont identifié et ciblé des requêtes très spécifiques et fréquemment utilisées par les propriétaires de Mac :

• Questions de maintenance système (“comment effacer les données sur iMac”)
• Problèmes de stockage (“libérer de l’espace de stockage sur Mac”)
• Recherche d’informations sur des outils spécifiques comme Atlas, le navigateur d’OpenAI

Ces requêtes sont particulièrement propices à l’attaque car elles amènent les utilisateurs à chercher des instructions techniques précises, souvent à exécuter dans le Terminal.

Le piège du Terminal

Lorsque l’utilisateur arrive sur la conversation préalablement préparée sur ChatGPT ou Grok, les instructions semblent tout à fait normales. Par exemple, pour effacer les données système, la conversation pourrait suggérer d’exécuter une commande comme :

sudo rm -rf /Users/$USER/Library/Application\ Support/com.apple.TCC/

Cette commande, présentée comme une solution au problème de stockage, est en réalité le début du processus d’infection. Lorsque l’utilisateur copie et colle cette commande dans le Terminal macOS et l’exécute, le processus malveillant est déclenché.

La déchiffrement et l’exécution du script

La première étape technique de l’attaque implique le déchiffrement d’une URL encodée en base64 contenue dans la commande exécutée. Cette URL pointe vers un script bash nommé “update” qui est téléchargé et exécuté sur le système de la victime.

Ce script bash crée ensuite une fausse boîte de dialogue de demande de mot de passe, conçue pour ressembler exactement à la fenêtre standard macOS demandant les privilèges administrateur. C’est à ce moment que l’attaque devient particulièrement insidieuse :

1. La boîte de dialogue apparaît, demandant le mot de passe de l’utilisateur
2. Lorsque la victime entre son mot de passe et clique sur “Autoriser”, le script le capture et le stocke
3. Le mot de passe est ensuite utilisé pour exécuter des commandes avec des privilèges élevés

L’installation du malware AMOS

Une fois le mot de passe administrateur obtenu, le script télécharge et exécute le malware AMOS avec des privilèges de niveau root. Cette élévation de privilèges est cruciale pour AMOS, car elle lui permet d’effectuer toutes les actions malveillantes prévues par ses concepteurs.

AMOS est déposé sur le système dans un emplacement discret : /Users/$USER/.helper. Le point devant le nom du fichier le rend invisible dans l’explorateur de fichiers standard, rendant sa détection plus difficile pour les utilisateurs non avertis.

Le mécanisme de persistance

Pour assurer sa survie sur le système infecté, AMOS met en place un mécanisme de persistance particulièrement sophistiqué. Il crée un LaunchDaemon (un service macOS) nommé com.finder.helper.plist qui exécute un AppleScript caché.

Cet AppleScript agit comme une boucle de surveillance (watchdog loop) qui redémarre le malware immédiatement (en moins d’une seconde) s’il est jamais terminé ou supprimé. Cette caractéristique rend l’éradication du malware particulièrement difficile, car toute tentative de le supprimer provoque son redémarrage instantané.

“La persistance de ce malware est particulièrement remarquable, explique un chercheur de Huntress. Même si un parvient à identifier et à tuer le processus, le mécanisme de watchdog le redémarre si rapidement qu’il devient presque impossible de le supprimer sans une connaissance approfondie du système macOS.”

Les conséquences de l’infection par AMOS

Une fois installé et persistant sur le système, AMOS commence à collecter une vaste gamme d’informations sensibles sur la victime. L’ampleur des données volées par ce malware en fait une menace particulièrement dangereuse pour les utilisateurs macOS.

Le vol de portefeuilles de cryptomonnaie

AMOS a été spécifiquement conçu pour cibler les portefeuilles de cryptomonnaie, une cible de choix pour les cybercriminels en raison de la valeur potentielle des fonds volés. Lorsqu’il est lancé, le malware analyse d’abord le dossier des applications à la recherche de portefeuilles populaires :

• Ledger Wallet
• Trezor Suite
• Electrum
• Exodus
• MetaMask
• Ledger Live
• Coinbase Wallet

Lorsqu’il trouve l’une de ces applications, AMOS la remplace par une version trojanisée qui, lorsque l’utilisateur l’ouvre, affiche une fenêtre demandant “pour des raisons de sécurité” d’entrer sa phrase de graine (seed phrase). C’est cette phrase de graine qui permet de récupérer l’accès à un portefeuille de cryptomonnaie, et sa possession équivaut au contrôle total des fonds.

Le vol de données de navigateur

Outre les portefeuilles de cryptomonnaie, AMOS cible également les données de navigation stockées dans les navigateurs web. Le malware collecte :

• Les cookies de session
• Les mots de passe enregistrés
• Les données de saisie automatique
• Les jetons d’authentification

Ces informations peuvent être utilisées pour compromettre les comptes en ligne de la victime, y compris ses comptes bancaires, réseaux sociaux et services professionnels.

Le vol de données du trousseau macOS

AMOS exploite également le trousseau macOS (Keychain), le système sécurisé d’Apple pour stocker les mots de passe et autres informations sensibles. Le malware extrait :

• Les mots de passe d’applications
• Les identifiants Wi-Fi
• Les certificats numériques
• Les informations de carte de crédit

Cette fonctionnalité est particulièrement inquiétante car elle permet aux attaquants d’accéder à une grande partie des informations sensibles de la victime, y compris celles qui ne sont pas stockées dans des navigateurs.

L’évolution récente d’AMOS

Au cours de l’année 2025, les opérateurs d’AMOS ont ajouté de nouvelles fonctionnalités au malware, le rendant encore plus dangereux. La plus notable est l’ajout d’un module de porte dérobée (backdoor) qui permet aux attaquants :

• D’exécuter des commandes distantes sur l’ordinateur infecté
• D’enregistrer les frappes de touches (keylogging)
• De charger des charges supplémentaires (additional payloads)

Ces capacités transforment AMOS d’un simple infostealer en un outil complet de prise de contrôle à distance, donnant aux attaquants un accès persistant et complet au système de la victime.

Comment se protéger contre ce type d’attaque

Face à cette campagne sophistiquée et à d’autres menaces similaires, les utilisateurs et les administrateurs système doivent mettre en place des stratégies de défense multi-couches. Voici les mesures essentielles à adopter pour se protéger efficacement.

La vigilance face aux résultats de recherche

La première ligne de défense contre cette attaque est la vigilance. Les utilisateurs doivent comprendre que les publicités Google, même lorsqu’elles pointent vers des plateformes légitimes comme ChatGPT ou Grok, peuvent contenir du contenu malveillant.

“Un simple test que nous recommandons à nos clients est de demander à l’assistant IA lui-même si les instructions fournies sont sûres à exécuter”, explique un expert de Kaspersky. “Dans la plupart des cas, ChatGPT ou Grok répondront que ces instructions ne sont pas sûres, révélant ainsi la nature malveillante du contenu.”

Les utilisateurs doivent également se méfier des résultats de recherche qui semblent trop bons pour être vrais, en particulier lorsque des instructions techniques sont impliquées.

Les bonnes pratiques d’exécution des commandes

L’exécution de commandes dans le Terminal macOS est une opération puissante mais potentiellement dangereuse. Pour se protéger, les utilisateurs doivent adopter les bonnes pratiques suivantes :

1. Toujours vérifier la source des commandes avant de les exécuter
2. Comprendre ce que fait une commande avant de la lancer
3. Éviter d’exécuter des commandes provenant de forums ou de conversations non vérifiées
4. Utiliser des environnements sandboxés pour tester des commandes suspectes

Les administrateurs système peuvent mettre en place des politiques strictes concernant l’exécution de scripts et l’utilisation du Terminal, en particulier sur les postes de travail contenant des données sensibles.

Solutions de sécurité pour macOS

Pour les entreprises et les utilisateurs avancés, l’implémentation de solutions de sécurité spécialisées pour macOS est essentielle. Ces solutions peuvent aider à détecter et à bloquer les menaces comme AMOS avant qu’elles ne causent des dommages.

Voici un tableau comparatif des principales solutions de sécurité pour macOS :

Mises à jour et maintenance système

Les mises à jour régulières du système d’exploitation et des applications sont cruciales pour la sécurité macOS. Apple publie régulièrement des correctifs de sécurité qui colmatent les vulnérabilités exploitées par les malwares comme AMOS.

Les utilisateurs doivent activer les mises à jour automatiques lorsque possible et vérifier régulièrement que toutes leurs applications sont à jour. En particulier, les navigateurs web et les outils de productivité doivent être maintenus à jour car ils sont souvent ciblés par les campagnes d’ingénierie sociale.

La formation des utilisateurs

La formation des utilisateurs est peut-être la mesure de protection la plus importante contre les menaces comme AMOS. Les employés, en particulier, doivent être formés aux principes de base de la sécurité informatique :

• Reconnaître les tentatives de phishing
• Comprendre les risques liés à l’exécution de code non vérifié
• Savoir comment vérifier l’authenticité des sources d’information
• Connaître les procédures à suivre en cas de suspicion d’infection

Les programmes de formation réguliers, combinés à des simulations d’attaques (phishing tests), peuvent considérablement réduire le risque d’infection par des campagnes comme celle d’AMOS.

Les pratiques de sauvegarde

Enfin, des pratiques de sauvegarde solides sont essentielles pour minimiser l’impact d’une infection réussie. Les sauvegardes doivent :

• Être effectuées régulièrement
• Stockées sur des supports externes non connectés en permanence au système
• Vérifiées périodiquement pour assurer leur intégrité
• Chiffrées pour protéger la confidentialité des données sauvegardées

En cas d’infection par un malware comme AMOS, avoir des sauvegardes propres permet de restaurer le système sans les données volées par l’attaquant.

Conclusion : rester vigilant face aux nouvelles menaces

La campagne AMOS représente un tournant préoccupant dans l’évolution des menaces cybernétiques ciblant macOS. En exploitant la popularité et la confiance accordées aux plateformes d’IA comme ChatGPT et Grok, les attaquants ont développé une méthode d’ingénierie sociale particulièrement efficace et difficile à détecter.

Cette attaque démontre une fois de plus que la cybersécurité n’est pas seulement une question de technologie, mais aussi de comportement et de vigilance. Les utilisateurs doivent comprendre que même les plateformes les plus respectées peuvent être exploitées pour propager des menaces, et que la confiance doit toujours être tempérée par la prudence.

Face à cette évolution, les professionnels de la sécurité doivent s’adapter en développant des défenses multi-couches qui combinent :

• Des technologies avancées de détection et de prévention des menaces
• Des politiques de sécurité strictes et bien appliquées
• Une formation approfondie des utilisateurs aux risques émergents
• Une veille constante sur les nouvelles techniques d’attaque

“L’avenir de la cybersécurité réside dans l’anticipation et l’adaptation”, déclare un expert de Huntress. “Les attaquants continueront d’exploiter les nouvelles technologies et les tendances du moment. La meilleure défense reste une combinaison de technologie intelligente et d’une culture de la sécurité forte.”

Alors que nous entrons dans une ère où l’IA et d’autres technologies émergentes deviennent omniprésentes, il est impératif que la communauté de la sécurité informatique reste à l’affût de ces nouvelles menaces et développe des stratégies de défense adaptées. La campagne AMOS n’est qu’un exemple de ce qui attend les utilisateurs et les organisations dans les années à venir.