IA, escroqueries, renseignements sur les menaces

Un faux site de téléchargement de ChatGPT infecte Mac Windows Mac avec des logiciels malveillants

par Stefan Dasic | 28 mai 2026
Renseignements sur les menaces : les menaces cachées
Ajouter comme source préférée sur Google

Un faux site web très réaliste se fait passer pour la page de téléchargement de ChatGPT d'OpenAI et infecte les visiteurs avec un logiciel malveillant conçu pour voler des mots de passe, des données de navigateur, des portefeuilles de cryptomonnaie et d'autres informations sensibles.

Le site, openew[.]app, reproduit fidèlement l'expérience de téléchargement réelle de ChatGPT d'OpenAI et propose ce qui semble être des applications de bureau officielles pour Windows macOS. En réalité, Windows reçoivent un chargeur de logiciels malveillants destiné à voler leurs identifiants, tandis que Mac reçoivent Odyssey Stealer, un dérivé d'Atomic Stealer (AMOS), une famille de logiciels malveillants bien connue pour macOS, associée au vol de cryptomonnaies.

Image de gaucheImage de droite

C'est cette configuration sur deux plateformes qui rend cette opération particulièrement préoccupante. En cliquant sur le Windows , on obtient un faux programme d'installation qui ouvre une connexion secrète vers un serveur contrôlé par le pirate. En cliquant sur le bouton macOS, on télécharge un logiciel malveillant qui vole les mots de passe du navigateur, les cookies, les sessions Telegram, les portefeuilles de cryptomonnaies et d'autres fichiers sensibles. Il tente également de remplacer les applications légitimes des portefeuilles Ledger et Trezor par des versions infectées par un cheval de Troie.

Si vous avez téléchargé ChatGPT uniquement depuis la page de téléchargement officielle d'OpenAI ou depuis le Microsoft Store, vous n'étiez pas visé par cette attaque. En revanche, si vous avez recherché « téléchargement ChatGPT » et cliqué sur une publicité ou un résultat inconnu, vous avez peut-être donné aux pirates l'accès à vos comptes en ligne, à vos sessions de navigation, à vos mots de passe enregistrés et, éventuellement, à vos avoirs en cryptomonnaies.

Malwarebytes les utilisateurs contre ce logiciel malveillant.

Analyse technique

Le domaine, openew[.]app, ressemble fortement à l'expérience de téléchargement réelle de ChatGPT proposée par OpenAI. Elle utilise un thème sombre, une identité visuelle à la manière d'OpenAI, des textes marketing familiers et des boutons de téléchargement bien visibles pour macOS et Windows.

Le domaine de premier niveau .app est géré par Google et nécessite des connexions HTTPS, ce qui signifie que les navigateurs affichent l'icône familière du cadenas sans avertissement apparent concernant le certificat.

Le détail le plus important est la configuration multi-plateforme. Les véritables éditeurs de logiciels proposent des programmes d'installation distincts pour Windows macOS, et ce site frauduleux fait exactement la même chose.

En cliquant sur le Windows , vous accédez à Chat_GPT.exe, tandis qu'en cliquant sur le bouton macOS, vous téléchargez une image disque contenant ChatGpt.dmg.

Le logiciel Windows

Chat_GPT.exe est presque entièrement constitué de composants disponibles dans le commerce. Le programme d'installation utilise Inno Setup, une boîte à outils gratuite et open source utilisée par des milliers de Windows légitimes. Elle contient un Electron un squelette d'application — le même framework basé sur Chromium que celui utilisé par des applications telles que Slack et Discord — associé aux bibliothèques de prise en charge standard mises à disposition du public par le projet Electron.

Lorsque la victime lance le programme d'installation, celui-ci crée des fichiers dans le répertoire %APPDATA%\LeronApplication, lance EApp.exe, et lance PowerShell avec les options -ExecutionPolicy Unrestricted -Command -. Le tiret final indique à PowerShell de lire les commandes à partir de l'entrée standard, ce qui signifie que les instructions malveillantes ne sont jamais enregistrées sur le disque, où des scanners pourraient les détecter. La télémétrie comportementale a enregistré le trafic HTTP vers 188.137.246.189 en utilisant un /laravel.php?api=api&hash=...&message=... point d'accès, ainsi que des signes d'activité de type injection et de persistance via les services ou l'exécution automatique. Neuf des 69 moteurs antivirus ont signalé le fichier comme malveillant au moment de l'analyse. Les indices de persistance s'apparentent davantage à des techniques comportementales qu'à la preuve d'une installation durable, mais le schéma général correspond bien au profil type des voleurs de données et des droppers : bon marché, modulaires et efficaces, plutôt que techniquement novateurs.

Un CAPTCHA s'affiche après le lancement de la fausse application, afin de vérifier qu'un véritable utilisateur l'utilise.
Un CAPTCHA s'affiche après le lancement de la fausse application, afin de vérifier qu'un véritable utilisateur l'utilise.

Le logiciel malveillant pour macOS : Odyssey Stealer (une variante d'AMOS)

La charge utile macOS se situe dans le haut de gamme du marché des logiciels malveillants courants. Il s'agit d'Odyssey, un fork du célèbre AMOS, une plateforme de « malware-as-a-service » répertoriée depuis 2023.

L'identification est assez claire. L'échantillon analysé en bac à sable correspond aux schémas de comportement documentés d'Odyssey, hérités de sa lignée AMOS : une longue chaîne AppleScript transmise au moteur de script de macOS, une tentative silencieuse de validation du mot de passe à l'aide des commandes du service d'annuaire de macOS et, si cette vérification silencieuse échoue, une fausse invite de type macOS indiquant « Veuillez saisir le mot de passe de l'appareil pour continuer », accompagnée de l'icône de verrouillage familière. Tout ce que l'utilisateur saisit est validé par rapport à cette même commande. En cas de correspondance, le logiciel malveillant capture le mot de passe de connexion de l'utilisateur en clair.

À partir de là, il suit le schéma habituel des fork d’Odyssey/AMOS. Il copie le trousseau de macOS, récupère les cookies et les identifiants enregistrés dans 12 navigateurs basés sur Chromium, ainsi que dans Firefox et Waterfox, et extrait les données de session de Telegram. Il analyse également 16 répertoires de portefeuilles de cryptomonnaies, notamment ceux de Ledger Live, Trezor Suite, Exodus, Electrum et Sparrow. Enfin, il parcourt les dossiers « Bureau » et « Documents » à la recherche de fichiers portant des extensions telles que .wallet, .seed, .key, et .kdbx. Les données collectées sont compressées dans une archive temporaire, puis envoyées à un serveur prédéfini.

La fonctionnalité de remplacement du portefeuille est particulièrement dangereuse

Il y a un autre élément dans la charge utile macOS, et c'est sans doute cette fonctionnalité qui justifie son prix. Après le vol initial de données, le script télécharge des versions infectées par un cheval de Troie de Ledger Live, Ledger Wallet et Trezor Suite à partir d'un deuxième serveur. Il tente ensuite de supprimer les applications de portefeuille légitimes pour les remplacer par les versions de l'attaquant.

Si le mot de passe de l'utilisateur a été intercepté plus tôt au cours de la chaîne d'attaque, le script utilise sudo pour forcer le remplacement. Sinon, le système revient à la valeur par défaut rm -rf tentative de suppression, qui peut tout de même aboutir si les applications sont installées dans un emplacement accessible en écriture par l'utilisateur. Quoi qu'il en soit, la prochaine fois que la victime ouvrira ce qui semble être son logiciel de portefeuille, elle lancera en réalité la version de substitution mise en place par le pirate.

Ce comportement de substitution de portefeuille est caractéristique de la branche Poseidon/Odyssey de la famille AMOS et laisse supposer que le vol de cryptomonnaies est l'objectif principal.

Quel a été le coût de construction de l'installation ?

C'est là que l'aspect IA devient intéressant, car les versions Windows macOS de l'application se situent dans des gammes de prix très différentes.

Le domaine openew.app coûterait probablement aux opérateurs environ 15 dollars par an auprès d'un bureau d'enregistrement classique. Le .app Le domaine utilise le protocole HTTPS par défaut, ce qui permet aux opérateurs d'afficher facilement le cadenas de sécurité que les utilisateurs associent aux sites web légitimes. La page d'accueil elle-même n'est qu'une copie de la véritable page de téléchargement d'OpenAI, que les outils de clonage modernes peuvent reproduire en quelques minutes.

Du Windows de Windows , la plupart des outils sont peu coûteux ou gratuits. Inno Setup est gratuit. Electron est gratuit. Les fichiers de support Chromium sont accessibles au téléchargement public. L'infrastructure serveur semble reposer sur des outils de création de logiciels malveillants bon marché et un serveur virtuel (VPS) basique qui ne coûterait que quelques dollars par mois. Au total, la Windows de cette opération aurait très bien pu coûter moins de 100 dollars lors de sa mise en place initiale.

Du côté de macOS, la situation est très différente. Odyssey se louerait pour environ 3 000 dollars par mois, payables en cryptomonnaie. À titre de comparaison, Lumma — un Windows très répandu Windows , souvent considéré comme un produit similaire — a toujours proposé des formules d'entrée de gamme à environ 250 dollars par mois.

Cet écart de prix en dit long. Les cybercriminels estiment manifestement qu'une Mac réussie Mac rapporte bien plus qu'une Windows classique Windows .

La raison probable est simple : Odyssey est spécialement conçu pour le vol de cryptomonnaies, notamment grâce à la fonctionnalité de remplacement de portefeuille observée dans cette campagne. Les auteurs parient qu'un nombre important Mac détiennent des cryptomonnaies.

Le trafic vers le site est sans doute le seul coût important récurrent, et c’est là que l’image de marque liée à l’IA prend toute sa valeur. Les publicités sur les moteurs de recherche, le « SEO poisoning », YouTube et les liens partagés dans les communautés Discord et Telegram consacrées à l’IA peuvent tous générer du trafic vers de fausses pages de téléchargement. Certains de ces canaux ont un coût. D’autres sont pratiquement gratuits.

Pourquoi les pirates s'en prennent aux marques spécialisées dans l'IA

La plupart des logiciels bien établis bénéficient déjà d'habitudes de téléchargement bien ancrées. Si vous voulez Chrome, vous savez sans doute qu'il faut aller sur Google. Si vous voulez Photoshop, vous allez sur Adobe. Les gens savent déjà où trouver le véritable fichier à télécharger.

Les outils d'IA se distinguent des autres, car la plupart des utilisateurs les installent encore pour la première fois ; ils doivent donc se fier aux résultats de recherche, aux publicités, YouTube ou aux publications sur les réseaux sociaux pour trouver la page de téléchargement. Cela crée un terrain propice à l'apparition de sites frauduleux.

Au cours des deux dernières années, des produits tels que ChatGPT, Claude, Gemini, Sora, DeepSeek, Antigravity et bien d’autres ont vu le jour ou ont évolué à un rythme effréné. Chaque nouvelle version suscite une nouvelle vague d’utilisateurs qui recherchent « télécharger ChatGPT » ou « installer Claude » sans connaître l’URL officielle. C’est précisément sur ce trafic de recherche que les pirates s’attaquent.

De plus, ces fausses pages n'ont pas besoin d'être particulièrement sophistiquées, car les pages de produits d'IA légitimes sont déjà très épurées de par leur conception : une mise en page moderne, un logo et un gros bouton de téléchargement. Openew[.]app correspond à ce que les utilisateurs s'attendent à voir. Ici, pas d'anglais approximatif ni de fenêtres contextuelles intrusives, mais une image de marque et des textes identiques, ainsi que le cadenas rassurant du navigateur.

Ce qui rend ce type d'opération durable, c'est la facilité avec laquelle les opérateurs peuvent changer de marque. Lorsque l'appât ChatGPT cesse d'attirer des clics, les opérateurs peuvent réutiliser la même infrastructure pour le prochain produit d'IA à la mode. Le logiciel malveillant derrière le bouton de téléchargement reste le même. Seule la marque change.

Ce que les fournisseurs d'IA pourraient faire

La plupart des grands fournisseurs d'IA, dont OpenAI, proposent déjà des canaux de téléchargement officiels. Le problème réside dans la visibilité et les habitudes des utilisateurs. Beaucoup d'entre eux continuent de rechercher « téléchargement ChatGPT », ce qui peut les mener à des résultats comprenant aussi bien des liens officiels que des miroirs non officiels, voire des sites carrément malveillants.

Les grandes marques grand public et les banques mènent souvent des campagnes énergiques de protection de leur image de marque contre les fausses publicités et les sites de contrefaçon. Les fournisseurs de solutions d'IA devraient peut-être faire de même de manière plus systématique.

L'autre problème concerne la visibilité. Les liens officiels vers les applications de bureau sont souvent enfouis dans les menus de paramètres ou les barres latérales, tandis que les moteurs de recherche sont plus rapides et plus visibles. C'est précisément là que les faux sites de téléchargement vous guettent.

Que faire si vous pensez avoir installé une fausse application ?

Si vous avez récemment installé un logiciel se présentant comme ChatGPT à partir d'une source autre que la page de téléchargement officielle d'OpenAI ou le Microsoft Store, vous avez peut-être été affecté. À partir d'un autre appareil sain :

  • Déconnectez-vous de vos comptes importants en utilisant l'option « Se déconnecter de tous les appareils » de chaque service. Cela concerne notamment les messageries électroniques, les services bancaires, le stockage en ligne, GitHub, Discord, Telegram et les plateformes d'échange de cryptomonnaies.
  • Commencez par modifier les mots de passe de votre compte de messagerie principal.
  • Renouvelez toutes les clés API, les clés SSH et les identifiants de connexion au cloud stockés sur la machine concernée.
  • Si vous détenez des cryptomonnaies, transférez immédiatement vos fonds à l'aide d'un appareil distinct et non infecté. Sur macOS en particulier, n'ouvrez pas Ledger Live ni Trezor Suite sur la machine concernée avant de réinstaller le système d'exploitation, car la fonction de remplacement du portefeuille pourrait avoir fonctionné.
  • Surveillez les comptes bancaires et les cartes de paiement afin de détecter toute activité suspecte.
  • Réinstallez le système d'exploitation. Windows présentait un comportement de commande et de contrôle via PowerShell, tandis que la charge utile sous macOS aurait pu intercepter le mot de passe de connexion de l'utilisateur. Une réinstallation à partir d'un disque vierge constitue la solution de récupération la plus sûre.
  • S'il s'agit d'un appareil professionnel, contactez immédiatement votre service informatique ou votre équipe de sécurité.

Malwarebytes les utilisateurs contre ce logiciel malveillant.

Conclusion

Si cette campagne mérite qu'on s'y attarde, ce n'est pas à cause du logiciel malveillant en lui-même. Les deux charges utiles sont déjà bien documentées. Windows , il s'agit d'un kit standard assemblé à partir de composants bon marché et largement disponibles. Du côté de macOS, Odyssey Stealer est lié à la famille de logiciels malveillants AMOS, dont on suit les traces depuis 2023.

Ce qui est particulièrement intéressant, c'est la manière dont s'organise cette opération autour de ce logiciel malveillant. Un seul site frauduleux diffuse deux charges utiles distinctes, destinées à deux types de victimes différents. Windows sont visés dans le cadre d'une monétisation à grande échelle, via le vol d'identifiants et de cookies. Mac font quant à eux l'objet d'une stratégie plus ciblée et plus lucrative, axée sur le vol de cryptomonnaies ; les opérateurs semblent prêts à dépenser des milliers d'euros par mois en outils, car les bénéfices en valent la peine.

Ce qui fait le lien entre ces deux aspects, c'est la marque AI elle-même. À l'heure actuelle, les noms des produits AI génèrent un trafic considérable de nouveaux téléchargements de la part d'utilisateurs qui ne connaissent pas encore les URL officielles.

Voici à quoi ressemble une infrastructure de diffusion bien rodée. Ce qui est intéressant, ce n’est pas le code binaire lui-même, mais la chaîne logistique qui l’entoure : le domaine, le certificat, la page clone, la source de trafic, l’abonnement aux logiciels malveillants et l’infrastructure d’exfiltration. Chaque élément est peu coûteux, modulaire, remplaçable et disponible dans le commerce.

Et les opérateurs ne choisissent pas entre Windows macOS. Ils proposent les deux à partir de la même page, avec des contenus adaptés aux spécificités économiques de chaque plateforme. Lorsqu’une marque d’IA cesse de générer des conversions, ils peuvent simplement changer de marque et réutiliser la même infrastructure pour le prochain produit en vogue.

L'engouement pour l'IA finira par s'estomper. Ce ne sera probablement pas le cas de ce kit.

Indicateurs de compromis (IOC)

Hachages de fichiers (SHA-256)

  • c9e0e6985dca3a179c9bdea4e7b38f7dc57fe00ecedc2fd634256fc53bf2de2d (Chat_GPT.exe)
  • c0919e1999eaee67e67aeda0287722775afb04e9a9a0f727928b4d11265fb70b (ChatGpt.dmg)

Indicateurs réseau

  • openew[.]app
  • 188[.]137[.]246[.]189
  • 192[.]253[.]248[.]181
  • 172[.]94[.]9[.]250
Prix « Choix de la rédaction » de CNET 2026

« L'une des meilleures suites de cybersécurité au monde. » 

D'après CNET.Lire leur critique

À propos de l'auteur

Stefan Dasic

Stefan Dasic

Passionné par les solutions antivirus, Stefan a été impliqué très tôt dans les tests de logiciels malveillants et l'assurance qualité des produits AV. Au sein de l'équipe Malwarebytes , Stefan se consacre à la protection des clients et à la garantie de leur sécurité.

DERNIERS ARTICLES

AI
messages sécurisés et e-mails manqués

IA : menace, outil, ou les deux ?

Juin 5, 2026

Les inquiétudes du public concernant l'IA ne cessent de croître. Nous examinons les raisons de cette tendance et pourquoi la cybersécurité occupe une place particulière dans ce débat.

Escroqueries
hameçonnage à grande échelle

Les programmes de vol d'informations sont en train de devenir la charge utile de prédilection dans le hameçonnage

Juin 3, 2026

Les cybercriminels préfèrent les logiciels de vol d'informations aux techniques traditionnelles de hameçonnage, car ceux-ci sont plus faciles à mettre en œuvre, s'adaptent bien à une utilisation à grande échelle et sont largement accessibles.

Mobile
Mobile

Les fausses alertes de virus envahissent les jeux mobiles

Juin 2, 2026

« Votre appareil est infecté ! » Les faux avertissements concernant les comptes et les alertes de virus transforment certaines publicités dans les jeux en pièges contenant des logiciels malveillants.

Ajouter comme source préférée sur Google

Articles connexes

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries