Décidément, l’actualité est chargée pour Grok, mais cette fois-ci, il fait parler de lui « à l’insu de son plein gré ». Mosyle, spécialisée dans la gestion et la sécurité des flottes d’appareils Apple, a repéré un site qui prend l’aspect de Grok pour diffuser un malware qui s’en prend aux Mac, comme le rapporte AppleInsider.
La page, sise à l’adresse xaillc[.]com, ressemble exactement à l’intelligence artificielle de xAI, et se comporte de la même manière. Elle en profite pour demander à l’utilisateur d’installer une app contenue dans une image disque appelée Grok.dmg, ce qui ne permet pas de soupçonner son côté frauduleux. L’application demandera à l’installation de taper son mot de passe administrateur afin de compléter le process, ce qui ne paraît pas forcément choquant en temps normal.
Malheureusement, durant l’installation l’app insère par la même occasion le malware SimpleStealth, qui a pour but de rester silencieux sur la machine de l’utilisateur infecté et de miner des cryptomonnaies Monero. Histoire de rester bien caché, il ne démarre le minage qu’après une minute d’inactivité, et s’arrête immédiatement dès que l’utilisateur revient devant l’écran. Histoire d’être encore plus discret, il se camoufle en process kernel_task et launchd dans le Moniteur d’activité.
D’après les chercheurs qui ont décortiqué le malware, celui-ci aurait été produit à grands renforts d’IA, et contient de nombreux passages en anglais et en brésilien. Plus que la langue utilisée, le fait que l’IA ait été utilisée pour programmer SimpleStealth ne fait que suivre une tendance à l’utilisation de l’IA pour programmer des logiciels malveillants, et Mosyle met en garde sur l’accélération de leur développement sur macOS grâce aux chatbots.
L’entreprise en profite pour rappeler les bonnes pratiques, ce qui n’est jamais inutile : éviter de télécharger des apps depuis des sites n’étant pas directement ceux de leurs développeurs, spécialement quand le site « ressemble » un peu trop à une copie du site officiel. Privilégiez les téléchargements sur l’App Store ou sur des sites officiels connus. Même si macOS contient des outils de sécurité efficaces, ils ne sont pas infaillibles : toujours se méfier d’une app qui demande le mot de passe administrateur.
