{"id":23484,"date":"2025-12-20T18:07:30","date_gmt":"2025-12-20T16:07:30","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23484"},"modified":"2025-12-19T18:08:35","modified_gmt":"2025-12-19T16:08:35","slug":"share-chatgpt-chat-clickfix-macos-amos-infostealer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/share-chatgpt-chat-clickfix-macos-amos-infostealer\/23484\/","title":{"rendered":"Le voleur d’informations a rejoint la partie"},"content":{"rendered":"

Les voleurs d\u2019informations (infostealers), des programmes malveillants qui volent les mots de passe, les cookies, les documents et\/ou d\u2019autres donn\u00e9es pr\u00e9cieuses des ordinateurs, sont devenus la cybermenace connaissant la croissance la plus rapide en 2025<\/a>. Il s\u2019agit d\u2019un probl\u00e8me critique qui touche tous les syst\u00e8mes d\u2019exploitation \u00e0 travers le monde. Pour propager leur infection, les criminels ont recours \u00e0 toutes sortes de stratag\u00e8mes comme app\u00e2ts. Sans surprise, les outils d\u2019IA sont devenus l\u2019un de leurs instruments de persuasion pr\u00e9f\u00e9r\u00e9s cette ann\u00e9e. Dans une nouvelle offensive d\u00e9couverte par les experts de Kaspersky, les pirates informatiques redirigent leurs victimes vers un site Internet cens\u00e9 contenir des guides d\u2019installation du nouveau navigateur Atlas d\u2019OpenAI pour macOS. Ce qui rend cette attaque si convaincante, c\u2019est que le lien pi\u00e8ge m\u00e8ne vers\u2026 le site officiel de ChatGPT\u00a0! Mais comment\u00a0?<\/p>\n

Un lien app\u00e2t dans les r\u00e9sultats de recherche<\/h2>\n

Pour attirer les victimes, les acteurs malveillants placent des annonces de recherche payantes sur Google. Si vous effectuez la recherche \u00ab\u00a0chatgpt atlas\u00a0\u00bb, le tout premier lien sponsoris\u00e9 pourrait \u00eatre un site dont l\u2019adresse compl\u00e8te n\u2019est pas visible dans l\u2019annonce, mais qui se trouve clairement sur le domaine chatgpt.com<\/em>.<\/p>\n

Le titre de la page dans l\u2019annonce est \u00e9galement celui auquel on pourrait s\u2019attendre : \u00ab\u00a0ChatGPT\u2122 Atlas pour macOS \u2013 T\u00e9l\u00e9charger ChatGPT Atlas pour Mac\u00a0\u00bb. Et un utilisateur souhaitant t\u00e9l\u00e9charger le nouveau navigateur pourrait tr\u00e8s bien cliquer sur ce lien.<\/p>\n

\"Un<\/a>

Un lien sponsoris\u00e9 dans les r\u00e9sultats de recherche Google m\u00e8ne \u00e0 un guide d\u2019installation de programme malveillant camoufl\u00e9 en ChatGPT Atlas pour macOS et h\u00e9berg\u00e9 sur le site officiel de ChatGPT. Comment est-ce possible ?<\/p><\/div>\n

Le pi\u00e8ge<\/h2>\n

En cliquant sur l\u2019annonce, l\u2019utilisateur acc\u00e8de effectivement au site chatgpt.com et acc\u00e8de \u00e0 un court guide d\u2019installation du \u00ab\u00a0navigateur Atlas\u00a0\u00bb. Un utilisateur attentif comprendra imm\u00e9diatement qu\u2019il s\u2019agit simplement d\u2019une conversation entre un visiteur anonyme et ChatGPT, que l\u2019auteur a rendue publique \u00e0 l\u2019aide de la fonctionnalit\u00e9 \u00ab\u00a0Partager\u00a0\u00bb. Les liens vers les conversations partag\u00e9es commencent par chatgpt.com\/share\/<\/em>. En fait, la mention \u00ab\u00a0Ceci est une copie d\u2019une conversation entre ChatGPT et un utilisateur anonyme\u00a0\u00bb est clairement indiqu\u00e9e juste au-dessus de la discussion.<\/p>\n

Cependant, un visiteur moins prudent ou moins averti en mati\u00e8re d\u2019IA pourrait prendre le guide au pied de la lettre, d\u2019autant plus qu\u2019il est soigneusement mis en page et publi\u00e9 sur un site qui semble fiable.<\/p>\n

Des variantes de cette technique ont d\u00e9j\u00e0 \u00e9t\u00e9 observ\u00e9es auparavant\u00a0: des pirates ont abus\u00e9 d\u2019autres services permettant le partage de contenu sur leurs propres domaines\u00a0: documents malveillants dans Dropbox, phishing dans Google Docs<\/a>, programmes malveillants dans des commentaires non publi\u00e9s sur GitHub et GitLab<\/a>, pi\u00e8ges li\u00e9s aux cryptomonnaies dans Google Forms<\/a>, etc. Aujourd\u2019hui, il est \u00e9galement possible de partager une conversation avec un assistant IA, et le lien vers celle-ci m\u00e8nera au site Internet officiel du chatbot.<\/p>\n

Il convient de noter que les acteurs malveillants ont utilis\u00e9 des techniques d\u2019ing\u00e9nierie des requ\u00eates pour amener ChatGPT \u00e0 produire le guide souhait\u00e9, puis ont pu effacer les \u00e9changes pr\u00e9c\u00e9dents afin de ne pas \u00e9veiller de soup\u00e7ons.<\/p>\n

\"Instructions<\/a>

Le guide d\u2019installation soi-disant destin\u00e9 au navigateur Atlas pour macOS n\u2019est en r\u00e9alit\u00e9 qu\u2019une conversation partag\u00e9e entre un utilisateur anonyme et ChatGPT, dans laquelle les pirates informatiques, \u00e0 l\u2019aide de messages sp\u00e9cialement con\u00e7us, ont forc\u00e9 le chatbot \u00e0 produire le r\u00e9sultat souhait\u00e9, puis ont nettoy\u00e9 le dialogue<\/p><\/div>\n

L\u2019infection<\/h2>\n

Pour installer le \u00ab\u00a0navigateur Atlas\u00a0\u00bb, les utilisateurs doivent copier une seule ligne de code \u00e0 partir de la conversation, ouvrir Terminal sur leur Mac, coller et ex\u00e9cuter la commande, puis accorder toutes les autorisations requises.<\/p>\n

La commande en question entra\u00eene en r\u00e9alit\u00e9 le t\u00e9l\u00e9chargement d\u2019un script malveillant \u00e0 partir d\u2019un serveur suspect, atlas-extension{.}com<\/em>, et l\u2019ex\u00e9cute imm\u00e9diatement sur l\u2019ordinateur. Il s\u2019agit d\u2019une variante de l\u2019attaque ClickFix<\/a>. G\u00e9n\u00e9ralement, les escrocs proposent des \u00ab\u00a0recettes\u00a0\u00bb de ce type pour passer le CAPTCHA, mais dans ce cas-ci, il s\u2019agit d\u2019une marche \u00e0 suivre pour installer un navigateur. La ruse de base reste cependant la m\u00eame : l\u2019utilisateur est invit\u00e9 \u00e0 ex\u00e9cuter manuellement une commande shell qui t\u00e9l\u00e9charge et ex\u00e9cute du code \u00e0 partir d\u2019une source externe. Nombreux sont ceux qui savent d\u00e9j\u00e0 qu\u2019il ne faut pas ex\u00e9cuter des fichiers t\u00e9l\u00e9charg\u00e9s \u00e0 partir de sources douteuses, mais cette op\u00e9ration ne ressemble pas au lancement d\u2019un fichier.<\/p>\n

Lorsqu\u2019il est ex\u00e9cut\u00e9, le script demande \u00e0 l\u2019utilisateur son mot de passe syst\u00e8me et v\u00e9rifie si la combinaison \u00ab\u00a0nom d\u2019utilisateur actuel + mot de passe\u00a0\u00bb est valide pour ex\u00e9cuter des commandes syst\u00e8me. Si les donn\u00e9es saisies sont incorrectes, l\u2019invite se r\u00e9p\u00e8te ind\u00e9finiment. Si l\u2019utilisateur saisit le bon mot de passe, le script t\u00e9l\u00e9charge le programme malveillant et utilise les identifiants fournis pour l\u2019installer et le lancer.<\/p>\n

Le voleur d\u2019informations et la porte d\u00e9rob\u00e9e<\/h2>\n

Si l\u2019utilisateur tombe dans le pi\u00e8ge, un voleur d\u2019informations connu sous le nom d\u2019AMOS<\/a> (Atomic macOS Stealer) se lance sur son ordinateur. Le virus AMOS est en mesure de collecter un large \u00e9ventail de donn\u00e9es potentiellement pr\u00e9cieuses\u00a0: mots de passe, cookies et autres informations provenant de Chrome, Firefox et d\u2019autres profils de navigateurs\u00a0; donn\u00e9es provenant de portefeuilles de cryptomonnaies, comme Electrum, Coinomi et Exodus\u00a0; et informations provenant d\u2019applications comme Telegram Desktop et OpenVPN Connect. En outre, AMOS vole les fichiers portant les extensions TXT, PDF et DOCX dans les dossiers Bureau, Documents et T\u00e9l\u00e9chargements, ainsi que les fichiers du dossier de stockage de l\u2019application Notes. Le voleur d\u2019informations rassemble toutes ces donn\u00e9es et les envoie au serveur des cybercriminels.<\/p>\n

Cerise sur le g\u00e2teau, le voleur installe une porte d\u00e9rob\u00e9e et la configure pour qu\u2019elle se lance automatiquement au red\u00e9marrage du syst\u00e8me. La porte d\u00e9rob\u00e9e reproduit essentiellement la fonctionnalit\u00e9 d\u2019AMOS, tout en permettant aux cybercriminels de contr\u00f4ler \u00e0 distance l\u2019ordinateur de la victime.<\/p>\n

Comment se prot\u00e9ger contre le virus AMOS et d\u2019autres programmes malveillants dans les chats d\u2019IA\u00a0?<\/h2>\n

Cette vague de nouveaux outils d\u2019IA permet aux pirates de recycler d\u2019anciennes m\u00e9thodes pour cibler les utilisateurs curieux de la nouvelle technologie, mais encore peu exp\u00e9riment\u00e9s dans l\u2019utilisation des grands mod\u00e8les de langage.<\/p>\n

Nous avons d\u00e9j\u00e0 abord\u00e9 la question d\u2019une fausse barre lat\u00e9rale de chatbot pour les navigateurs<\/a>, et de faux clients DeepSeek et Grok<\/a>. Aujourd\u2019hui, les attaques visent \u00e0 exploiter l\u2019int\u00e9r\u00eat que suscite le navigateur Atlas d\u2019OpenAI, et ce ne sera certainement pas la derni\u00e8re attaque de ce type.<\/p>\n

Que faire pour prot\u00e9ger vos donn\u00e9es, votre ordinateur et votre argent\u00a0?<\/p>\n