Cette publicité diffusée sur X téléchargeait en réalité… un malware

Une simple extension pour Mac a été piratée et transformée en malware, puis diffusée en annonce sponsorisée sur 𝕏. L’éditeur original n’était pourtant pas malveillant, loin de là.

logo 𝕏
© Thibault Penin / Unsplash

Des chercheurs en sécurité ont identifié une campagne malveillante circulant sous forme de publicité sponsorisée sur le réseau social X. L’attaque, de type ClickFix, visait les utilisateurs de Mac en se faisant passer pour une application légitime.

Une fausse publicité pour une vraie application

L’annonce en question se présentait comme une promotion pour DynamicLake, un utilitaire Mac qui transforme l’encoche du MacBook en une imitation fonctionnelle du Dynamic Island d’Apple. En réalité, le lien redirige vers un domaine fantoche, dynamicmacisland[.]com, sans aucun lien avec l’application originale.

pub dynamic island mac malware
© Jamf Threat Labs

C’est Jamf Threat Labs, la division sécurité de l’entreprise Jamf, qui a mis au jour cette campagne et en a publié les détails. Une fois sur la page malveillante, les visiteurs étaient invités à ouvrir le Terminal de leur Mac et à y coller une commande d’installation. Cette méthode est caractéristique des attaques ClickFix : elle repose sur la manipulation sociale pour convaincre l’utilisateur d’exécuter lui-même le code malveillant. À titre de comparaison, les applications légitimes distribuées par Apple sont signées et notariées, et ne demandent jamais ce type de manipulation.

fichiers malware dynsmic island mac
© Jamf Threat Labs

Le logiciel malveillant identifié en charge utile est une variante récente d’Atomic Stealer, que Jamf suit sous le nom de MacSync. Des cas impliquant DigitStealer ont également été repérés dans le cadre de cette même campagne.

Un compte vérifié pour tromper la vigilance

La publicité provenait d’un compte vérifié, doté d’un nombre d’abonnés conséquent. Ce détail n’est pas anodin : un badge de vérification et un nom reconnu inspirent une confiance qu’un compte anonyme ne pourrait pas obtenir aussi facilement. Or, la confiance est précisément le levier sur lequel s’appuient ce type d’attaques.

Jamf a choisi de ne pas divulguer le nom du compte concerné. Selon les éléments recueillis, le propriétaire aurait approuvé la publicité de bonne foi, sans savoir qu’elle pointait vers un domaine malveillant. Il serait donc lui-même victime de l’arnaque, et non complice.

X pointé du doigt sur le contrôle de ses publicités

La question qui se pose est celle du système de modération publicitaire de X. Cette annonce a bien été soumise aux vérifications de la plateforme, et elle a tout de même été approuvée puis diffusée. Le recours à un domaine imitateur et à une redirection intermédiaire visait probablement à contourner les outils de détection automatisée, et cela a fonctionné.

Ce type de faille n’est pas propre à X. Ces dernières années, Google a fait face à de nombreuses critiques pour avoir laissé passer des annonces renvoyant vers des domaines malveillants en tête des résultats de recherche. Un cas documenté concernait de fausses pages pour l’outil Homebrew, qui distribuaient du malware à des utilisateurs Mac.

La publicité a été signalée à X par Jamf Threat Labs et retirée assez rapidement après le signalement.