Source et contexte: Huntress (blog, 9 décembre 2025) analyse un incident triagé le 5 décembre 2025 impliquant l’infostealer macOS AMOS livré via des résultats Google menant à de vraies conversations partagées sur ChatGPT et Grok, empoisonnées pour insérer une commande Terminal malveillante.

• Chaîne d’infection: un utilisateur cherche « clear disk space on macOS », clique un résultat de conversation ChatGPT/Grok légitime et copie/colle une commande Terminal présentée comme « sûre ». Cette commande contient une URL encodée en base64 vers un script bash qui déclenche une infection multi‑étapes. Aucune alerte Gatekeeper, aucun téléchargement manuel apparent: initial access par empoisonnement SEO/IA et copier-coller dans le Terminal.

• Étapes clés et impact: le loader demande un « mot de passe système » via invite factice, le valide silencieusement avec dscl -authonly, stocke le mot de passe en clair puis l’utilise avec sudo -S pour exécuter des commandes en root. Il applique une anti‑VM avant de déposer un binaire natif macOS .helper dans le répertoire utilisateur, remplace (si présents) Ledger Wallet et Trezor Suite par des versions trojanisées (demande de seed phrase), collecte données et les regroupe dans /tmp/out.zip pour exfiltration. La persistance s’appuie sur un LaunchDaemon (/Library/LaunchDaemons/com.finder.helper.plist) qui relance un watchdog AppleScript (.agent) assurant l’exécution continue en contexte GUI utilisateur.

• Capacités de l’infostealer: portefeuilles crypto (Electrum, Exodus, MetaMask, Ledger Live, Coinbase Wallet, etc.), navigateurs (mots de passe, cookies, tokens), Keychain macOS, énumération de fichiers et exfiltration vers serveurs des attaquants.

• Détection/mitigation (selon Huntress): privilégier la détection comportementale. Signaux à surveiller: osascript demandant des identifiants; usage inhabituel de dscl -authonly dans des scripts utilisateurs; system_profiler à des fins d’anti‑analyse; exécutions via sudo -u avec mot de passe fourni sur stdin; exécutables cachés (noms en « . ») dans les home directories. Côté utilisateurs: ne pas exécuter de commandes Terminal d’origine incertaine et se méfier de toute demande de mot de passe.

• IOCs 🔎

  • Fichiers/chemins: /Library/LaunchDaemons/com.finder.helper.plist ; /Users/$USER/.helper (binaire natif) ; fichiers cachés .pass, .id (stockage d’identifiants) ; /tmp/out.zip ; script AppleScript .agent ; binaire/loader « update ».
  • Infrastructure/domains/IP: hxxps://putuartana[.]com/cleangpt (delivery) ; 45.94.47[.]205 (Gate) ; 45.94.47[.]186 (C2) ; hxxps://wbehub[.]org (Ledger Wallet seed app data exfil) ; hxxps://sanchang[.]org (exfil).

• TTPs (principaux) 🧠

  • Empoisonnement SEO de requêtes courantes et hébergement sur plateformes IA légitimes (ChatGPT, Grok) via conversations partagées.
  • Exécution de commande Terminal copiée-collée (contournant Gatekeeper pour one‑liners/scripts).
  • Hameçonnage d’identifiants par invite factice + validation silencieuse (dscl -authonly) et élévation via sudo -S.
  • Persistance: LaunchDaemon + watchdog AppleScript relançant .helper en contexte utilisateur GUI.
  • Anti‑VM/anti‑analyse, trojanisation d’apps crypto (Ledger/Trezor), exfil par ZIP en /tmp et C2 dédié.

Conclusion: Article d’« analyse de menace » détaillant une campagne AMOS Stealer innovante misant sur la confiance envers l’IA et les moteurs de recherche pour atteindre une exécution sans friction et une persistance furtive.

🧠 TTPs et IOCs détectés

TTP

[‘Empoisonnement SEO de requêtes courantes et hébergement sur plateformes IA légitimes (ChatGPT, Grok) via conversations partagées.’, ‘Exécution de commande Terminal copiée-collée (contournant Gatekeeper pour one-liners/scripts).’, ‘Hameçonnage d’identifiants par invite factice + validation silencieuse (dscl -authonly) et élévation via sudo -S.’, ‘Persistance: LaunchDaemon + watchdog AppleScript relançant .helper en contexte utilisateur GUI.’, ‘Anti-VM/anti-analyse, trojanisation d’apps crypto (Ledger/Trezor), exfil par ZIP en /tmp et C2 dédié.’]

IOC

{‘files_paths’: [’/Library/LaunchDaemons/com.finder.helper.plist’, ‘/Users/$USER/.helper’, ‘.pass’, ‘.id’, ‘/tmp/out.zip’, ‘.agent’, ‘update’], ‘domains_ips’: [‘hxxps://putuartana[.]com/cleangpt’, ‘45.94.47[.]205’, ‘45.94.47[.]186’, ‘hxxps://wbehub[.]org’, ‘hxxps://sanchang[.]org’]}

🔗 Source originale : https://www.sentinelone.com/blog/cybervolk-returns-flawed-volklocker-brings-new-features-with-growing-pains/