En abusant du système d’Artefacts de Claude et du système Google Ads, les cybercriminels cherchent à piéger les utilisateurs de macOS dans le cadre d’attaques ClickFix. L’objectif : inciter l’utilisateur à exécuter des commandes pour qu’il infecte sa machine avec le malware MacSync, un voleur de données. Voici ce que l’on sait.

Le piège : Google Ads et la fausse crédibilité de l’IA

La technique dite “ClickFix” est particulièrement à la mode, et cette nouvelle campagne en est la preuve. Néanmoins, bien souvent, cette méthode consiste à afficher de fausses fenêtres d’erreur incitant l’utilisateur à copier et exécuter une commande pour corriger le problème. Cette fois-ci, les attaquants ont adopté la technique suivante : empoisonner les résultats de recherche Google (SEO poisoning) en apparaissant dans les résultats sponsorisés.

Toutefois, ces résultats sponsorisés ne mènent pas sur un site officiel, ni même sur un blog ou autre, mais sur une page hébergée sur un domaine légitime : claude.ai. En effet, la page affiche un artefact Claude destiné à guider l’utilisateur pour tenter de répondre à la question qu’il s’est posée au moment de faire sa recherche Google.

Selon les rapports publiés par Moonlock Lab (MacPaw) et d’AdGuard, les victimes sont ciblées lorsqu’elles effectuent les recherches suivantes :

• “online DNS resolver”
• “macOS CLI disk space analyzer”
• “HomeBrew”

L’infection s’effectue par l’intermédiaire de l’instruction donnée à l’utilisateur : copier et coller une commande Shell dans le Terminal de macOS pour installer l’outil recherché. Deux variantes de commandes ont été identifiées :

Et une seconde variante utilisant :

Visiblement, cette technique fonctionne : de nombreuses personnes ont consulté les pages publiées. Le rapport de Moonlock montre que la page de l’Artefact Claude a été lue plus de 15 000 fois. Même si cela n’indique pas le nombre de victimes, il y a bien du trafic vers ces pages.

MacSync : un infostealer bien connu

Une fois la commande exécutée par la victime (qui pense installer un utilitaire légitime), la chaîne d’infection s’active. Le script télécharge un loader pour le malware MacSync, un infostealer conçu pour exfiltrer les données sensibles du système. Ensuite, le malware établit une communication avec l’infrastructure de commande et de contrôle (serveur C2) pilotée par les cybercriminels. Une adresse a été associée à ces communications : . Pour tenter de masquer les communications, il usurpe un user-agent de navigateur macOS classique.

“La réponse est directement transmise à osascript – AppleScript se charge du vol proprement dit (trousseau, données du navigateur, portefeuilles cryptographiques).“, précisent les chercheurs. Sur le Mac infecté, les données de l’utilisateur sont donc siphonnées : mots de passe, cookies de connexion, portefeuilles crypto.

Ces données sont compressées dans une archive stockée ici : . Si l’envoi vers le serveur C2 échoue, le malware découpe l’archive en morceaux plus petits et retente l’exfiltration jusqu’à huit fois. Une fois l’opération terminée, une étape de nettoyage supprime toute trace de l’activité malveillante sur le disque.

Cette campagne ClickFix est l’occasion de rappeler une règle fondamentale : n’exécutez jamais de commandes dans votre Terminal sans en comprendre le sens.

Source