🔍 Contexte
Source : Kaspersky Blog (kaspersky.fr), publié le 29 mars 2026. Cet article présente les résultats d’une investigation approfondie menée par Kaspersky sur plusieurs campagnes malveillantes exploitant la popularité des outils d’intelligence artificielle.
🎯 Description de l’attaque
Des acteurs malveillants diffusent des infostealers en se faisant passer pour des outils d’IA populaires via des annonces Google Ads sponsorisées. Les leurres utilisés incluent :
- AI Doubao (application chinoise populaire)
- OpenClaw (assistant IA viral)
- Claude Code (assistant de programmation d’Anthropic)
Lorsqu’un utilisateur clique sur l’annonce malveillante, il est redirigé vers un faux site de documentation hébergé sur Squarespace (plateforme légitime), ce qui permet de contourner les filtres anti-phishing.
💻 Mécanisme d’infection
La technique employée est une variante de ClickFix, surnommée InstallFix :
- Le site malveillant reproduit fidèlement la documentation officielle de Claude Code
- L’utilisateur est invité à copier-coller et exécuter une commande
- Sur macOS : la commande utilise
curlpour déployer le stealer AMOS - Sur Windows : l’utilitaire système mshta.exe est utilisé pour déployer le stealer Amatera
📦 Charges utiles
- AMOS (Atomic macOS Stealer) : ciblant les utilisateurs macOS
- Amatera : ciblant les utilisateurs Windows, collecte des données de navigation, informations de portefeuilles de cryptomonnaies, fichiers du dossier utilisateur, et les exfiltre vers le serveur
144.124.235.102
🌍 Portée géographique
Des résultats de recherche malveillants ont été observés en Roumanie et au Brésil.
📋 Type d’article
Il s’agit d’une analyse de menace publiée par Kaspersky, visant à documenter des campagnes actives de distribution de malwares via malvertising et à informer les équipes de sécurité sur les indicateurs et techniques associés.
🧠 TTPs et IOCs détectés
TTP
- T1566 — Phishing (Initial Access)
- T1204.002 — User Execution: Malicious File (Execution)
- T1059 — Command and Scripting Interpreter (Execution)
- T1218.005 — System Binary Proxy Execution: Mshta (Defense Evasion)
- T1608.006 — Stage Capabilities: SEO Poisoning (Resource Development)
- T1113 — Screen Capture (Collection)
- T1555 — Credentials from Password Stores (Credential Access)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
- T1539 — Steal Web Session Cookie (Credential Access)
IOC
- IPv4 :
144.124.235.102 - Fichiers :
mshta.exe
Malware / Outils
- AMOS (stealer)
- Amatera (stealer)
🔗 Source originale : https://www.kaspersky.fr/blog/fake-ai-agents-infostealers/23740/