Une campagne malveillante a récemment été repérée dans les publicités sponsorisées de X. Des utilisateurs de Mac ont été ciblés par une fausse promotion pour DynamicLake, une application connue pour reproduire une interface inspirée de la Dynamic Island sur macOS. Derrière cette annonce se cachait toutefois un site frauduleux destiné à installer un logiciel malveillant.

Une fausse application qui demande d’ouvrir le Terminal

Selon les chercheurs de Jamf Threat Labs, la publicité renvoyait vers un domaine imitant l’identité de DynamicLake, sans lien avec son développeur. Une fois sur la page, les visiteurs étaient invités à copier puis exécuter une commande dans le Terminal de macOS afin de terminer l’installation.

Cette méthode correspond à une attaque de type ClickFix : au lieu d’exploiter directement une faille technique, les pirates poussent la victime à lancer elle-même une commande dangereuse. Le code exécuté installait une variante récente d’Atomic Stealer, un malware capable de dérober des mots de passe, des données de navigation, des fichiers sensibles et des informations liées aux portefeuilles de cryptomonnaies.

Un compte vérifié utilisé pour renforcer la confiance

Le message sponsorisé provenait d’un compte vérifié et déjà suivi par de nombreux internautes. Son propriétaire aurait validé la publicité sans savoir qu’elle redirigeait vers un site frauduleux. Cette apparence de légitimité rend l’attaque particulièrement crédible, surtout pour un utilisateur habitué à faire confiance aux publications mises en avant par la plateforme.

Le développeur appelle à la vigilance

Le créateur de DynamicLake a dénoncé la multiplication des copies malveillantes. « Je suis vraiment désolé pour les personnes qui souhaitaient installer DynamicLake et qui ont finalement téléchargé ce malware », explique-t-il. Il rappelle que l’application doit être téléchargée uniquement depuis son site officiel et jamais via une commande inconnue à coller dans le Terminal.

La publicité a été retirée après son signalement, mais l’affaire rappelle une règle essentielle sur Mac : une application légitime, signée et notarisée par Apple, ne demande normalement pas à l’utilisateur d’exécuter manuellement un script pour s’installer.