Une analyse récente réalisée par des experts en cybersécurité de Kaspersky mis en lumière un insidieux cyberattaque ciblant les utilisateurs de macOS où les moteurs de recherche, l’intelligence artificielle et la cybersécurité s’entremêlent, créant un terrain fertile pour une nouvelle fraude en ligne dangereuse. Les attaquants exploitent la fonction de Partage de chat ChatGPT pour créer un guide d’installation pour ChatGPT Atlas (le navigateur d’OpenAI). Le résultat est un piège capable de tromper même les plus malins : chaque détail (du site Internet au guide) semble apparemment inoffensif, parfaitement légitime. Dans cette analyse approfondie nous reconstituons les étapes clés de cette nouvelle attaque : comment les criminels manipulent Google Ads avec des liens trompeurs, comment ils utilisent ChatGPT comme « fenêtre d’affichage » pour promouvoir de fausses orientations, les techniques d’ingénierie sociale utilisées, etc. Nous illustrerons ensuite le danger du malware en question, levoleur d’informations AMOScapable de voler de nombreuses données aux victimes de cette attaque (de l’historique aux portefeuilles crypto) et nous vous expliquerons également comment concrètement vous défendre.
Comment fonctionne l’attaque Mac qui exploite les chats partagés ChatGPT
Tout commence par l’utilisation de annonces sponsorisées sur Google. Les experts de Kaspersky ils expliquent qu’en recherchant sur Google des termes comme « atlas chatgpt »le premier résultat apparaît tout à fait légitime : titre cohérent, domaine indiqué comme étant celui officiel de ChatGPT et aucune trace apparente de contrefaçon. Étant donné que l’adresse complète n’est pas visible dans l’aperçu, les criminels peuvent masquer la véritable destination que vous atteindrez en ouvrant cette URL. En effet, cliquer sur le lien ouvre un page réellement hébergée sur le domaine officiel ChatGPTmais il ne s’agit que d’une conversation partagée via la fonction appropriée.
Et on retrouve ici un premier aspect qui sous-tend le mécanisme de cette attaque : le lien provient du domaine du chatbot OpenAIce qui donne au guide unaura d’authenticité de manière à inciter de nombreux utilisateurs à baisser leurs défenses et leur seuil d’attention. Le contenu affiché sur la page ouverte dans ChatGPT est un faux guide d’installation d’Atlas. Ici, les attaquants ont utilisé le ingénierie rapidemodélisation des requêtes à l’IA pour obtenir un texte technique, formaté de manière ordonnée et crédible. Ils ont ensuite nettoyé le chat précédent pour cacher toute trace de manipulation. Cependant, un œil vraiment attentif pourrait quand même remarquer que quelque chose ne va pas. Kasperskyen fait, il explique :
Les liens vers les discussions partagées commencent par chatgpt.com/share/. En effet, juste au dessus du chat il est clairement indiqué : « Ceci est une copie d’une conversation entre ChatGPT et un utilisateur anonyme ».
Cependant, un visiteur moins attentif ou tout simplement moins doué en IA pourrait prendre le guide pour argent comptant, d’autant plus qu’il est bien formaté et publié sur un site d’apparence fiable.
Le point critique arrive lorsque l’utilisateur suit les instructions insaisissables pour procéder à l’installation du navigateur OpenAI. Les utilisateurs sont invités à copiez et collez une commande dans le terminal macOS. C’est une étape clé : la commande donnée dans le Terminal macOS en télécharge et en lance immédiatement une script depuis un serveur externe. Il s’agit d’une variante de Méthode ClickFixoù la victime est convaincue d’effectuer manuellement une opération malveillante. De nombreux utilisateurs, tout en évitant les fichiers inconnus, n’associent pas le même risque à une commande qu’ils collent dans le Terminal. Une fois lancé, le script demande à plusieurs reprises le mot de passe du système jusqu’à ce que le bon soit saisi ; à ce stade, le malware s’installe en utilisant les privilèges obtenus.
A ce stade, l’utilisateur qui a suivi attentivement les différentes étapes du « tutoriel malveillant » se retrouvera à avoir installé une variante de AMOS (Voleur atomique de macOS), un dangereux voleur d’informations créé pour voler une grande quantité de données sensibles. Il extrait les mots de passe et les cookies des principaux navigateurs, les données d’applications comme OpenVPN et Telegram, et vide les portefeuilles cryptographiques (comme Electrum, Coinomi et Exodus). Mais cela ne s’arrête pas là : il récupère également les fichiers personnels de l’utilisateur à partir des dossiers principaux du Mac (y compris Bureau, Documents et Téléchargements), regroupe le tout et envoie les informations à des serveurs gérés par des criminels. En plus du vol de données, il installe une porte dérobée qui accorde un accès à distance continu à l’appareil, se réactivant à chaque redémarrage du Mac.
Comment se défendre contre l’infostealer AMOS
Étant donné le danger de cette attaque, vous voulez certainement savoir maintenant quelles stratégies de défense adopter pour réduire le risque d’infection. Voici quelques points à garder à l’esprit :
- La première étape est Utilisez une solution anti-malware mise à jour pour macOSun système loin d’être à l’abri des cyberattaques.
- Si vous souhaitez installer ChatGPT Atlas, suivez les instructions de notre guide et Méfiez-vous des instructions qui vous obligent à ouvrir manuellement le terminal exécuter des commandes prises sur le Web ou depuis un chat, même si le ton paraît technique et rassurant : c’est un signe typique d’ingénierie sociale.
- Face à des instructions non sollicitées ou peu claires, le choix le plus sage est fermer la page. Alternativement, vous pouvez coller la commande suspecte dans un chat IA pour demander une analyse : une simple vérification peut éviter des dégâts majeurs.