On pense résoudre un problème, on en déclenche un autre. Derrière des annonces sponsorisées, de faux sites d’assistance et même de faux dépôts GitHub, CrowdStrike vient de mettre au jour une campagne active visant les utilisateurs macOS et leurs données sensibles.
- CrowdStrike a découvert Shamos, un nouveau malware macOS créé par le groupe COOKIE SPIDER et proposé comme malware-as-a-service.
- La campagne attire via annonces sponsorisées, de faux sites et des dépôts GitHub, invitant à exécuter une commande Terminal qui installe le stealer.
- Shamos cible le trousseau iCloud, les notes et les portefeuilles crypto ; privilégiez les sources officielles et maintenez macOS à jour.
CrowdStrike a confirmé avoir découvert un nouveau malware baptisé Shamos, conçu pour dérober les données des utilisateurs et utilisatrices macOS. Variante d’Atomic macOS Stealer (AMOS), il a été développé par le groupe cybercriminel COOKIE SPIDER et proposé comme malware-as-a-service (MaaS), accessible à d’autres acteurs qui l’utilisent pour leurs propres campagnes. L’infection s’appuie sur des méthodes proches des attaques ClickFix, où les victimes sont incitées à exécuter des commandes Terminal présentées comme des solutions de dépannage pour des problèmes macOS courants. Une campagne particulièrement active puisque, selon CrowdStrike, cette technique a été convoquée dans plus de trois cents tentatives d’infection recensées depuis le mois de juin.
Une campagne sophistiquée qui vise macOS
Si vous avez déjà rencontré un problème sur macOS, votre premier réflexe a peut-être été de chercher une solution sur Internet. Et c’est précisément sur ce type de comportement que misent les opérateurs de Shamos, qui ont mis en place une chaîne d’infection s’appuyant sur des annonces sponsorisées malveillantes, des sites frauduleux et de faux dépôts GitHub pour attirer les internautes. Des domaines comme mac-safer[.]com ou rescue-mac[.]com se présentent comme des pages d’assistance officielles, avec un design soigné et des instructions détaillées pour remédier à vos problèmes. Dans certains cas, les profils Google Ads utilisés semblent même usurper l’identité d’entreprises existantes pour renforcer leur crédibilité.
Dans le détail, ces pages et dépôts proposent des solutions de dépannage censées résoudre des problèmes courants, que les victimes sont invitées à appliquer en exécutant une commande Terminal, présentée comme indispensable pour réparer le système. En réalité, la commande télécharge un script Bash depuis un serveur distant, récupère le binaire Shamos et prépare son installation. Pour contourner les protections de macOS, le script supprime les attributs de quarantaine, rend le fichier exécutable, puis lance automatiquement le malware.
Une fois installé, Shamos vérifie qu’il n’est pas exécuté dans un environnement virtualisé, puis utilise des commandes AppleScript pour collecter des informations sur le système. Il cible ensuite les données sensibles stockées sur l’appareil, notamment les identifiants enregistrés dans le trousseau iCloud, les notes Apple, les fichiers liés aux portefeuilles de cryptomonnaies et les données de navigation. Ces éléments sont regroupés dans une archive out.zip et envoyés au serveur des attaquants.
S’il obtient des privilèges administrateur, Shamos met également en place un mécanisme de persistance en installant un fichier com.finder.helper.plist dans le dossier LaunchDaemons, afin de se relancer automatiquement à chaque démarrage. Dans certains cas, il peut aussi télécharger des charges additionnelles, comme une fausse application Ledger Live destinée à piéger les détenteurs de cryptomonnaies ou un module de botnet capable d’intégrer l’appareil compromis à un réseau contrôlé à distance.
Comment limiter les risques d’infection
Selon CrowdStrike, les campagnes exploitant ces méthodes sont particulièrement actives entre juin et août 2025, avec plus de trois cents tentatives d’infection recensées. Face à ce type d’attaque, le premier réflexe consiste à redoubler de vigilance face aux pages d’assistance et correctifs trouvés en ligne. Les liens sponsorisés affichés en haut des résultats Google ne sont pas toujours fiables, et certaines pages malveillantes parviennent à imiter très fidèlement les sites officiels d’Apple ou de développeurs tiers.
Dans la mesure du possible, mieux vaut éviter de suivre des instructions trouvées sur des dépôts GitHub inconnus ou sur des forums non officiels, surtout lorsque cela implique d’exécuter des commandes Terminal dont vous ne maîtrisez pas la portée. L’App Store, la documentation d’Apple ou les forums communautaires modérés restent des sources plus sûres pour diagnostiquer et corriger les problèmes sur macOS.
Shamos illustre également la tendance croissante des cybercriminels à industrialiser le vol de données via des malwares vendus en tant que service. Le fait qu’il soit proposé en modèle MaaS signifie que de nouvelles variantes pourraient circuler rapidement, portées par différents groupes d’attaquants. Il est par conséquent recommandé de maintenir macOS et ses applications à jour afin de limiter le nombre de failles exploitables et de réduire la surface d’attaque potentielle.
Enfin, garder un œil sur les permissions accordées aux applications et repérer d’éventuels comportements inhabituels peut aider à détecter une intrusion. Les protections natives de macOS, comme Gatekeeper et XProtect, bloquent déjà une partie des exécutables malveillants, mais elles ne couvrent pas tous les scénarios. Dans certains cas, compléter ces défenses par une solution EDR ou antivirus fiable peut se révéler salvateur, notamment dans les environnements professionnels où les données sensibles sont plus exposées.
Source : CrowdStrike
