Des pirates exploitent ChatGPT pour cibler les utilisateurs de macOS
Une campagne de cybermalveillance cible actuellement les utilisateurs de macOS. Mise en lumière par les experts de Kaspersky, cette attaque exploite une fonctionnalité de ChatGPT permettant de partager des conversations via une simple URL. En détournant ce mécanisme, les cybercriminels parviennent à tromper les internautes en jouant sur la confiance accordée à l’outil d’OpenAI.Dans un premier temps, les attaquants achètent des annonces sponsorisées sur des moteurs de recherche comme Google. Ces publicités leur permettent de positionner en tête des résultats des liens qu’ils contrôlent. Derrière ces annonces se cache une page hébergée sur le domaine officiel ChatGPT.com, ce qui donne une apparence parfaitement légitime et rassurante. Les liens frauduleux s’affichent notamment lorsque les internautes recherchent « ChatGPT Atlas », un prétendu navigateur basé sur l’IA d’OpenAI.
Un faux tutoriel dissimulé dans une discussion ChatGPT
En cliquant sur l’annonce, la victime est redirigée non pas vers un site externe classique, mais vers une conversation ChatGPT falsifiée. Les cybercriminels ont modifié le contenu de cet échange afin d’y intégrer un faux guide d’installation. Celui-ci explique, étape par étape, comment installer ChatGPT Atlas sur macOS. En réalité, ce tutoriel constitue un piège destiné à inciter l’utilisateur à installer un programme malveillant.Le faux guide demande à la cible de copier et coller une unique ligne de commande dans le Terminal de macOS, l’outil permettant d’exécuter des instructions système via du texte. Contrairement à ce qui est annoncé, cette commande ne permet évidemment pas d’installer un navigateur.
Un malware conçu pour voler les données
La commande déclenche en réalité le téléchargement et l’exécution d’un script hébergé sur un serveur contrôlé par les attaquants. Sous couvert de permissions nécessaires à l’installation, le script réclame le mot de passe administrateur de l’ordinateur. Une fois obtenu, il installe le malware AMOS (Atomic Stealer).Apparu en 2023, ce logiciel malveillant est spécialisé dans le vol d’informations sensibles. Il peut récupérer des identifiants, des mots de passe, des cookies de navigation, des portefeuilles de cryptomonnaies, ainsi que des données issues d’applications de messagerie comme Telegram. Il fouille également les dossiers personnels tels que Bureau, Documents ou Téléchargements, sans oublier les notes stockées dans Apple Notes. Ce malware a déjà été observé à plusieurs reprises dans des campagnes de publicités frauduleuses sur Google.Une fois les données exfiltrées, AMOS installe une porte dérobée sur le système, garantissant aux pirates un accès à distance persistant, même après le redémarrage du Mac.
Une attaque de type « ClickFix »
Cette campagne repose sur une méthode dite « ClickFix », qui ne s’appuie pas sur une faille technique, mais sur la manipulation psychologique. Les victimes sont amenées à effectuer elles-mêmes les actions dangereuses, contournant ainsi les protections de sécurité habituelles.La particularité de cette attaque réside dans son habillage autour de l’intelligence artificielle. Le contenu malveillant se présente comme provenant directement de ChatGPT, ce qui contribue à réduire la vigilance des utilisateurs.Comme l’explique le chercheur Vladimir Gursky :
« Un lien sponsorisé renvoie vers une page apparemment fiable hébergée sur un domaine de confiance, et le ‘guide d’installation’ se limite à une simple commande Terminal. Pour de nombreux utilisateurs, ce mélange de crédibilité et de simplicité suffit à lever leurs derniers doutes. Le résultat est pourtant une compromission complète du système. »Dans un rapport transmis à 01net, Kaspersky souligne que les infostealers figurent parmi les menaces connaissant la plus forte croissance en 2025. Les cybercriminels exploitent massivement les thématiques liées à l’IA, les faux outils et les contenus générés artificiellement pour renforcer la crédibilité de leurs attaques.Pour se protéger, il est fortement déconseillé d’exécuter des commandes inconnues dans le Terminal de macOS, même lorsqu’elles semblent provenir d’une conversation ChatGPT. Les instructions générées ou partagées via l’IA peuvent être falsifiées et utilisées à des fins malveillantes.
source : 01.net