Crowdstrike alerte sur une campagne active menée par le groupe COOKIE SPIDER. Déjà plus de 300 utilisateurs macOS ont été piégés : les pirates exploitent des fausses pubs et sites d’aide pour pousser à exécuter un script malveillant qui contourne Gatekeeper.
Une campagne ciblant directement macOS
Entre juin et août 2025, Crowdstrike a observé une vague d’attaques déployant SHAMOS, une variante du voleur de données Atomic macOS Stealer (AMOS). Diffusé en modèle “malware-as-a-service”, SHAMOS permet aux cybercriminels de récolter identifiants, données sensibles et cryptomonnaies.
Les victimes sont piégées par des publicités en ligne ou de faux sites d’aide macOS, qui leur proposent de copier-coller une commande Terminal. Résultat : plus de 300 cas confirmés dans le monde, dont la France.
Comment fonctionne l’attaque ?
Le scénario est redoutablement simple :
L’internaute recherche une solution à un problème macOS (par exemple “vider le cache DNS”).
Il clique sur un site frauduleux, très bien référencé grâce au malvertising.
On lui propose une commande Terminal à copier-coller. Cette commande, parfois masquée en Base64, télécharge un script qui capture le mot de passe de l’utilisateur puis installe SHAMOS. Le malware contourne Gatekeeper, collecte les données (Mots de passe, notes, cookies du navigateurs, portefeuilles crypto) et installe même d’autres charges malveillantes, comme un faux Ledger Live.
Crédit photo : crowdstrike.com
Pour rappel, le Malvertising est la contraction de "malicious" et "advertising" (publicité malveillante). C'est une technique utilisée par les cybercriminels pour diffuser leurs attaques en passant par les publicités en ligne.
Comment se protéger ?
Un conseil simple : ne lancez jamais un script Terminal que vous ne comprenez pas. Si le code contient des chaînes encodées ou obscures, c’est un drapeau rouge. Cette technique rappelle d’ailleurs les faux tutoriels TikTok qui incitent à copier-coller des lignes incompréhensibles.
Pour éviter le pire, l’installation d’un logiciel de sécurité sur Mac reste indispensable : il bloque les malwares comme SHAMOS, empêche l’accès aux sites piégés et détecte les tentatives de phishing. Une couche de protection qui peut faire la différence avant que vos données ou vos cryptos ne disparaissent.
