Malware détecté via une publicité sponsorisée sur X

Malware found spreading through sponsored ad on X

Récemment, une alerte a été lancée sur une attaque ClickFix déguisée en annonce sponsorisée sur le célèbre réseau social X, mise en lumière par Jamf Threat Labs, le département de recherche en sécurité de l’entreprise. L’annonce provenait d’un compte vérifié et bien connu, mais masquait un lien malveillant ciblant les utilisateurs de Mac.

L’annonce prétendait proposer DynamicLake, une application valide permettant de transformer l’encoche des MacBook en un Dynamic Island fonctionnel. Pourtant, selon l’enquête de Jamf, le lien redirigeait vers un domaine malveillant sans aucune affiliation avec l’application authentique.

Malware detecte via une publicite sponsorisee sur X
Capture d’écran de l’annonce malveillante déguisée en DynamicLake.
via Jamf Threat Labs.

Les victimes étaient invitées à ouvrir leur Terminal et à y coller un code d’installation, permettant ainsi l’installation silencieuse de malware sur leur Mac. Ce type de méthode est typique des attaques basées sur le social engineering.

Les applications légitimes, dûment signées par Apple, ne requièrent jamais de telles actions de la part des utilisateurs.

1783004465 450 Malware detecte via une publicite sponsorisee sur X
Page d’atterrissage malveillante avec l’attaque ClickFix. Capture d’écran via Jamf Threat Labs.

Une annonce au visage familier

L’annonce est partie d’un compte vérifié et populaire, ajoutant une couche de crédibilité qui rend cette situation encore plus préoccupante. J’ai décidé de garder le nom du compte anonyme pour protéger l’identité de son propriétaire, qui n’avait pas l’intention de propager du malware.

Il semblerait que le propriétaire ait fait confiance à cette annonce et l’ait validée pour son compte, persuadé qu’elle était légitime. Un compte vérifié avec une mention familière inspire une confiance qu’un compte inconnu ne peut pas égaler.

Un système de vérification défaillant

Le fait que le propriétaire ait été dupé est une chose, mais le fait qu’X ait approuvé l’annonce pour la diffuser en est une autre. Comble de l’ironie, cette annonce a traversé le système publicitaire d’X malgré tous les contrôles.

Le domaine similaire et la redirection unique ont facilité la tâche pour échapper aux analyses automatisées d’X. Cette situation rappelle plusieurs incidents récents où Google Ads avait approuvé des domaines malveillants promus dans les résultats de recherche, exposant ainsi les utilisateurs à des dangers inacceptables.

Réaction des développeurs de DynamicLake

Cette attaque représente une première pour la promotion de malware à travers des annonces sur X, mais le véritable développeur de DynamicLake lutte contre des clones nuisibles depuis un moment. Face à la prolifération des contrefaçons, il a eu l’opportunité de partager ses réflexions.

Je suis profondément désolé pour ceux qui ont voulu installer DynamicLake mais ont fini par télécharger ce malware. DynamicLake est une application qui apporte une fonctionnalité Dynamic Island sur Mac, et je n’aurais jamais imaginé qu’on abuserait de cette marque. Je continue de me battre contre ces copies malveillantes, car malheureusement, de nouvelles apparaissent régulièrement. Je suis déterminé à protéger ce projet et notre communauté.

Jamf Threat Labs a signalé l’annonce à X, et celle-ci a été rapidement supprimée. Cette expérience soulève des questions sur l’efficacité des mesures de sécurité d’X pour empêcher la diffusion de publicités malveillantes. Quelles seront les prochaines étapes pour améliorer la sécurité des utilisateurs ?