Ce malware se fait passer pour Grok et cible votre Mac

Un nouveau malware ciblant spécifiquement les Mac vient d'être repéré. Ce dernier se fait passer pour l'application officielle de Grok, l'intelligence artificielle d'Elon Musk.

Mosyle, une entreprise spécialisée dans la gestion d'appareils Apple, a identifié une campagne malveillante qui utilise du code généré par IA pour infecter les ordinateurs macOS.

Un malware dopé à l'IA qui se fait discret

Le malware, baptisé SimpleStealth, se propage via un site web frauduleux lequel imite parfaitement l'interface de Grok. L'adresse du site malveillant est xaillc[.]com. Les visiteurs y trouvent un fichier à télécharger nommé Grok.dmg, lequel est bien entendu présenté comme une application légitime. Une fois lancé, ce programme demande le mot de passe administrateur de l'utilisateur, sous couvert d'une procédure d'installation normale. Cette demande permet au malware de contourner la protection de quarantaine de macOS et d'installer ses fichiers sur le système.

Les chercheurs de Mosyle expliquent avoir découvert des traces d'intelligence artificielle dans le code de SimpleStealth. Le code affiche toutes caractéristiques grossières d'une génération par IA : commentaires excessifs, logique redondante, et un mélange d'anglais et de portugais brésilien qu'aucun développeur humain n'aurait volontairement produit. Nul besoin de compétences techniques, l'IA permet ainsi aux cybercriminels d'accélérer le développement de logiciels malveillants.

Le malware se comporte comme un mineur de cryptomonnaies, tout en restant très discret. Il ne commence à miner que lorsque l'utilisateur est absent depuis au moins une minute, et s'arrête immédiatement dès son retour. SimpleStealth se camoufle en outre sous des noms de processus système courants comme kernel_task ou launchhd, ce qui le rend difficile à repérer dans le Moniteur d'activité. Au moment de sa découverte, il échappait à la détection des principaux antivirus.

Le mois dernier, nous rapportions que les malware se tournaient de plus en plus vers macOS, notamment via des campagnes ClickFix qui poussent les utilisateurs à exécuter des commandes malveillantes dans le terminal. Apple conseille de s'en tenir aux applications listées au sein de son App Store, ce qui parait toutefois bien réducteur, notamment pour les développeurs ne souhaitant pas reverser une commission à l'entreprise. Quoi qu'il en soit, les protections intégrées d'Apple ne suffisent pas à elles seules, mais il existe plusieurs solutions de sécurité pour Mac dont la base virale est rapidement mise à jour.