L’origine de l’infection est probablement liée à du SEO Poisoning orchestrée par le groupe d’attaquant derrière cette vague d’attaque.

Les attaquants utilisent notamment des tutoriels, des guides d’utilisations ou des sessions utilisateurs avec l’IA des outils suivants pour piéger leurs victimes :
        – Claude
        – OpenClaw
        – NotebookLM

L’IP de l’IOC fournie serait un serveur C2 collectant les données volées, ainsi, une connexion établie entre la machine et ce C2 indiquerait la réussite de l’attaque.

L’attaque ne repose pas sur l’utilisation de fichiers, ainsi que plusieurs niveaux de chiffrement et compression des données, rendant la détection de cette attaque difficile.

Dans le cas où l’infection par ce Trojan voleur d’identifiants serait confirmé, il faut prévoir a minima le changement de tous les identifiants.


 ACTIONS REQUISES :
 —————–
 – NETTOYAGE DU POSTE UTILISATEUR
 – CHANGEMENT DE TOUS LES IDENTIFIANTS ET MOTS DE PASSE (PRO ET PERSO)
 – VÉRIFICATION DE L’EXPLOITATION DES ID DE L’UTILISATEUR SUR VOTRE SI.
 – VÉRIFICATION D’UNE ATTAQUE EN COURS PAR LATÉRALISATION SUR VOTRE SI.


Pour en savoir plus sur le mode opératoire :
——————————————
Documentation concernant cette vague d’attaque :

https://defensendepth.substack.com/p/the-ghost-in-the-annotations
https://www.clubic.com/actualite-600550-attention-un-claude-peut-en-cacher-un-autre-de-faux-chatbots-anthropic-ont-diffuse-des-spyware-sur-macos.html

https://bbs.kanxue.com/thread-290290.htm
https://zhuanlan.zhihu.com/p/2015462192464536915

Informations sur les faux guides d’installations de Claude Code utilisées pour implanter du code malveillant :
https://www.bleepingcomputer.com/news/security/fake-claude-code-install-guides-push-infostealers-in-installfix-attacks/
https://pushsecurity.com/blog/installfix/
https://www.sophos.com/en-us/blog/evil-evolution-clickfix-and-macos-infostealers