Le danger de l'espionnage ! Un malware IA s'infiltre sur un Mac via une application frauduleuse Grok
JAKARTA - Les attaques de logiciels malveillants basés sur l’intelligence artificielle commencent à cibler les utilisateurs de Mac. La société de gestion des appareils Apple, Mosyle, a dévoilé une nouvelle campagne de logiciels malveillants macOS appelée SimpleStealth qui se propage via une application d’IA fausse qui prétend être Grok.
Dans ses conclusions, Mosyle explique que cette attaque utilise un site Web faux qui imite l’application Grok AI de xAI. Les victimes sont invitées à télécharger un installer macOS dangereux appelé Grok.dmg depuis le domaine usurpé xaillc[.]com, et non depuis le Mac App Store officiel.
L’application fausse ressemble et fonctionne comme le logiciel original. Mais derrière son apparence, un processus caché se déroule en arrière-plan. Lorsque le malware a été découvert pour la première fois, il n’a même pas été détecté par la plupart des principaux antivirus.
Le mode d'attaque repose sur une ingénierie sociale courante, en demandant aux utilisateurs d'entrer le mot de passe du système lors du processus d'installation qui semble normal. Une fois l'accès accordé, le malware est capable de contourner la protection de quarantaine de macOS et d'exécuter le contenu dangereux réel.
Une fois installé, SimpleStealth exécute un mineur de cryptomonnaie Monero en mode caché. L’activité de minage n’est activée que lorsque le Mac n’est pas utilisé pendant au moins une minute et s’arrête lorsque l’utilisateur reprend ses activités, ce qui le rend difficile à détecter.
Pour se déguiser, le malware se présente comme un processus système macOS valide, comme kernel_task et launchd. Cette camouflage rend difficile la reconnaissance de comportements suspects par le biais d'une surveillance système régulière.
Les chercheurs de Mosyle ont également découvert des indices solides que ce code malveillant a été créé avec l'aide de l'IA générative. La structure du code, les commentaires trop détaillés, la logique répétée, ainsi que le mélange de l'anglais et du portugais brésilien sont considérés comme très similaires aux sorties des modèles de langues larges.
Ces conclusions renforcent les inquiétudes quant à la rapidité avec laquelle l'IA générique accélère le développement de logiciels malveillants en réduisant les obstacles techniques pour les cybercriminels. Mosyle a prévenu que les menaces macOS pourraient apparaître plus rapidement et plus souvent, même si chaque variante de malware peut être relativement simple.
Pour réduire le risque, Mosyle recommande aux utilisateurs de Mac de ne télécharger que des applications depuis le Mac App Store ou directement auprès des développeurs de confiance avec un domaine officiel. Les utilisateurs sont également invités à être plus vigilants si une application demande un mot de passe système lors de l’installation, en particulier si la demande n’est pas pertinente pour la fonction principale de l’application.
Pour les organisations, l’utilisation d’outils de gestion des appareils et de surveillance du comportement est importante pour détecter les activités suspectes qui échappent souvent aux antivirus traditionnels, en particulier à l’ère des malwares basés sur l’IA qui se développent.