Piraté en essayant de prouver qu’on n’est « pas un robot » sur un site recommandé par Gemini
(mytory.net)- L’utilisateur s’est rendu sur un site recommandé au cours d’une conversation avec Gemini
- En cliquant sur « Je ne suis pas un robot », une commande malveillante était copiée à l’avance dans le presse-papiers, puis le site indiquait d’ouvrir le terminal, de la coller et d’appuyer sur Entrée pour « vérifier » qu’il s’agissait bien d’un humain.
- Une fois exécutée, elle télécharge et lance un script supplémentaire sous la forme
curl | bash - Le script s’enregistre dans les
LaunchAgentsde macOS pour continuer à s’exécuter même après redémarrage ou reconnexion - Il récupère ensuite et exécute un AppleScript depuis un serveur distant, tout en collectant des informations et en tentant une élévation de privilèges
Dans ce cas :
- L’élévation de privilèges a échoué car le mot de passe administrateur n’a pas été saisi
- Mais un accès et une collecte partiels d’informations dans la limite des droits utilisateur ont malgré tout pu avoir lieu
Réponse :
- Couper immédiatement le réseau
- Supprimer le
plistmalveillant dans~/Library/LaunchAgents - Arrêter les processus en cours d’exécution
- Se déconnecter de toutes les sessions du navigateur puis se reconnecter (invalidation des cookies)
- Remplacer les clés SSH
Leçon :
- Il faut se méfier lorsqu’une page web demande d’exécuter une commande locale sous prétexte de « vérification » ou d’« authentification »
- Il faut aussi se méfier des sites recommandés par une IA
- En particulier, si l’on vous pousse à ouvrir un terminal, une fenêtre Exécuter ou PowerShell pour y coller quelque chose, c’est presque toujours ce schéma
- Se méfier de toute demande de saisie du mot de passe administrateur est une habitude essentielle et la dernière ligne de défense
Pour l’analyse détaillée, les commandes réellement exécutées et la procédure de réponse, voir l’article original
Aucun commentaire pour le moment.