Des attaquants instrumentalisent des chats publics et des liens sponsorisés pour faire exécuter, via une simple commande copiée-collée, l’installation d’un malware sur Mac.
TL;DR : L’essentiel
- Une conversation avec un assistant IA peut être fabriquée pour recommander une commande dangereuse, puis rendue publique et promue afin d’apparaître en haut des résultats Google.
- Une recherche banale sur la libération d’espace disque a mené à un lien sponsorisé vers une discussion ChatGPT, dont l’instruction copiée-collée a donné aux attaquants l’accès nécessaire pour installer un malware.
- Des tests réalisés après l’incident ont montré que plusieurs chatbots pouvaient reproduire le même scénario, en proposant des commandes exploitables dès qu’un acteur malveillant guide la conversation.
- L’attaque contourne les alertes classiques : aucun fichier à télécharger, aucun exécutable suspect, parfois même aucun lien louche. La confiance se déplace vers Google et l’IA, ce qui abaisse la vigilance.
Le décor est celui d’une recherche banale, d’un résultat mis en avant, puis d’une ligne de commande qui paraît “utile”. L’attaque décrite relie trois briques familières — moteur de recherche, assistant conversationnel et terminal — pour transformer une consigne en infection. Le signal faible, ici, n’est pas un malware sophistiqué visible à l’œil nu, mais une manipulation de confiance : un contenu fabriqué pour ressembler à une aide, puis amplifié par la publicité et le référencement. Comme le relate un article publié sur Engadget, l’alerte provient d’un éditeur de détection et réponse, après le constat qu’une compromission sur Mac avait pris naissance dans une simple recherche.
Quand la recherche devient un canal d’instruction offensif
Selon l’analyse publiée par Huntress, la scène démarre par exemple par une recherche anodine : libérer de l’espace disque sur Mac. Le moteur de recherche met en avant un lien sponsorisé vers une conversation ChatGPT, hébergée sur une plateforme légitime, où des conseils de dépannage incluent une commande à exécuter dans le Terminal macOS.
L’utilisateur clique, lit la discussion, puis copie-colle la commande en pensant suivre une recommandation fiable, trouvée via un service du quotidien. Dans le scénario observé, cette exécution ouvre la voie à l’installation du malware AMOS, présenté comme une opération d’exfiltration de données visant les appareils Mac.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
L’attaque se distingue par ce qui manque : aucun fichier à télécharger, aucun exécutable suspect à lancer, aucun lien “évidemment louche” à identifier. Une requête, un clic, un copier-coller suffisent, ce qui court-circuite la plupart des signaux d’alerte habituels.
La bascule est celle de l’ingénierie sociale : plutôt que d’imiter des plateformes de confiance, la campagne s’appuie sur elles, puis exploite la visibilité publicitaire et le référencement pour placer une “aide” malveillante au milieu des réponses les plus accessibles. Dans la foulée, des tests ont montré que d’autres chatbots pouvaient reproduire ce même schéma dès qu’un acteur guide la conversation vers des commandes exploitables.
Chatbots et “copier-coller” : une surface d’attaque sociale, plus que technique
L’analyse faite de la cybetattaque insiste aussi sur la reproductibilité : plusieurs chatbots auraient été capables de suivre la trajectoire si la conversation est guidée de manière malveillante. Cela rapproche l’incident d’une catégorie plus large : les attaques où un système répond “correctement” à une consigne, alors que la consigne elle-même est piégée. La réponse ne paraît pas absurde ; elle paraît utile et alignée avec la demande. C’est précisément ce qui rend la manipulation efficace.
L’expression “agentic browser” apparaît en toile de fond : un navigateur ou un assistant capable d’enchaîner des actions au nom de l’utilisateur. Même si l’attaque décrite ne nécessite pas qu’un agent navigue et clique automatiquement, l’idée est la même : délégation. Plus une action est déléguée à un système perçu comme fiable, plus l’attaquant peut se concentrer sur la fabrication de la consigne qui déclenche cette action. Ici, la délégation n’est pas une automatisation complète ; c’est un copier-coller, mais ce geste devient un “exécuter” en un seul mouvement.
Ce que l’incident change pour la défense : contrôle des commandes, réduction de confiance implicite
Le message de prudence se résume à une règle opérationnelle simple : aucune commande ne devrait être exécutée si son effet exact n’est pas compris. Dans un terminal, une ligne peut supprimer des fichiers, modifier des permissions, télécharger et exécuter un script, ou collecter des informations système. La difficulté, pour un public non spécialiste, est que la commande peut paraître cryptique mais “standard”. C’est précisément l’avantage pour l’attaquant : une instruction opaque peut se déguiser en solution.
Le texte fait émerger une tendance plus large : l’attaque vise l’interface d’assistance elle-même. Là où les attaques habituelles se concentraient sur des emails ou des sites imitant une marque, l’effort se déplace vers des espaces où la personne recherche volontairement de l’aide. Une requête de dépannage devient un point d’entrée. Le canal “support” devient le canal “compromission”.
Des serveurs, des API et du temps.
DCOD est bénévole, mais l'hébergement a un coût. Participez aux frais techniques.
