Deux nouvelles campagnes malveillantes visant macOS exploitent la popularité des outils d’IA comme ChatGPT ainsi qu'une faille majeure des Mac : la taille par défaut de leur SSD qui est minuscule.
Comment fonctionne cette nouvelle attaque contre macOS ?
Les récentes analyses de chercheurs en cybersécurité décrivent deux variantes d’attaques reposant sur la même mécanique : tirer parti de la confiance accordée aux outils d’intelligence artificielle et aux résultats des moteurs de recherche.
Concrètement, un utilisateur Mac qui n'a plus de place sur son disque dur (Apple ne livre toujours que 256 Go sur l'entrée de gamme en 2025...) tape comment récupérer de l'espace disque sur Mac ?. Les deux premiers résultats sur Google sont deux liens sponsorisés menant vers de vraies discussions ChatGPT et Grok rendues publiques où les pirates ont manipulé l'IA pour qu'elle décrive tout un processus qui récupèrerait soi-disant de l'espace disque, mais accède en fait au Terminal pour installer un malware vicieux.
La deuxième campagne repose exactement sur le même principe mais vise plutôt la requête comment installer ChatGPT Atlas Browser, le nouveau navigateur Internet d'OpenAI boosté à l'IA. Sauf que le premier lien renvoie à nouveau vers une conversation avec ChatGPT qui décrirait comment installer Atlas, mais fait en fait taper des commandes Terminal à l'utilisateur qui installe un virus sur son Mac à son insu.
Ce malware s'appelle Atomic macOS Stealer (AMOS), un malware déjà bien présent dans l’écosystème Apple (il avait frappé en 2023 ou 2024 et revient maintenant en cette fin d'année 2025). Les attaquants n’ont plus besoin de faire télécharger un fichier suspect : ils s’appuient sur la curiosité, l’urgence ressentie et l'excès de confiance accordée dans les outils d’IA.
Quels sont les risques pour les utilisateurs de Mac ?
Une fois téléchargé via la commande Terminal, AMOS peut opérer en silence. Il est capable de récupérer un large éventail de données sensibles, notamment :
des identifiants stockés dans les navigateurs
des cookies de session permettant d’accéder à des services sans mot de passe
des portefeuilles de cryptomonnaies
des fichiers stockés localement
des informations système utiles pour persister sur la machine
Le fait que les campagnes reposent sur des guides ou conversations hébergées sur le domaine officiel chatgpt.com complique encore la détection : l’utilisateur a le sentiment d’être sur un site sûr et reconnu. De plus, ces attaques surfent sur un point faible bien connu des utilisateurs de Mac : les SSD souvent trop petits, conduisant beaucoup de propriétaires de MacBook à chercher régulièrement des méthodes pour faire de la place.
Ainsi, il s’agit d’attaques particulièrement dangereuses car simples, crédibles et rapides à exécuter, qui ne demandent quasiment aucune anticipation technique de la part de la victime.
Comment se protéger efficacement ?
Ces attaques étant fondées sur la manipulation psychologique et la confiance dans les outils d’IA, la prévention repose avant tout sur la vigilance. Voici les recommandations essentielles :
ne jamais exécuter une commande Terminal trouvée en ligne sans la vérifier
se méfier des publicités sponsorisées sur Google : même si elles renvoient vers un domaine reconnu, leur provenance réelle peut être malveillante
préférer des sources officielles : les outils et pages d'assistance macOS ou bien des applications sûres pour nettoyer de l’espace disque
télécharger des logiciels uniquement sur l'App Store ou sur les sites éditeurs
