SimpleStealth, una dintre primele malware Mac asistate de IA

Mosyle, o firmă de gestionare și securitate a dispozitivelor Apple, a identificat o campanie malware macOS, pe care a numit-o SimpleStealth.

Deși minerii de criptomonede pe macOS nu sunt o noutate, descoperirea făcută pare a fi primul eșantion de malware Mac descoperit în mediul online care conține cod din modele generative de inteligență artificială – confirmând oficial ceea ce era inevitabil.

Echipa de cercetare în securitate a Mosyle a precizat că amenințarea nu a fost detectată de niciunul dintre motoarele antivirus majore.

Acest lucru vine la aproape un an după ce Moonlock Lab a avertizat despre discuțiile de pe forumurile dark web care indicau cât de mari erau folosite modele lingvistice pentru a scrie malware care vizează macOS.

SimpleStealth se răspândește prin intermediul unui site fals

Campania SimpleStealth, se răspândește prin intermediul unui site web fals, convingător, care se dă drept populara aplicație de inteligență artificială, Grok.

Actorii amenințători folosesc un domeniu similar pentru a păcăli utilizatorii să descarce un program de instalare macOS rău intenționat. La lansare, victimelor li se prezintă ceea ce pare a fi o aplicație Grok complet funcțională, care arată și se comportă ca cea reală.

Aceasta este o tehnică obișnuită utilizată pentru a menține aplicația în prim-plan, în timp ce activitatea rău intenționată rulează discret în fundal, permițând malware-ului să funcționeze mai mult timp fără a fi observat.

Aplicația solicită parola de sistem

Potrivit lui Mosyle, SimpleStealth este conceput pentru a ocoli măsurile de securitate macOS în timpul primei execuții. Aplicația solicită utilizatorului parola de sistem sub pretextul finalizării unei sarcini simple de configurare.

Acest lucru permite malware-ului să elimine protecțiile de carantină ale Apple și să pregătească adevărata sa încărcătură utilă. Din perspectiva utilizatorului, totul pare normal, deoarece aplicația continuă să afișeze conținut familiar legat de inteligența artificială, așa cum ar face-o aplicația Grok reală.

În culise, însă, malware-ul implementează minerul de criptomonede Monero (XMR) care se laudă că are „plăți mai rapide” și este „confidențial și imposibil de urmărit” pe site-ul său.

Pentru a rămâne ascuns, activitatea de minare începe doar atunci când Mac-ul a fost inactiv timp de cel puțin un minut și se oprește imediat când utilizatorul mișcă mouse-ul sau tastează.

Minerul se deghizează în continuare prin imitarea proceselor comune de sistem, cum ar fi kernel_task și launchd, ceea ce face mult mai dificilă detectarea a unui comportament anormal.

„Amprentele” IA se regăsesc în codul malware

Utilizarea inteligenței artificiale se regăsește în tot codul malware-ului, care conține comentarii neobișnuit de lungi, un amestec de engleză și portugheză braziliană și modele logice repetitive caracteristice scripturilor generate de inteligență artificială.

Per total, această situație este alarmantă din mai multe motive. În principal, pentru că inteligența artificială reduce bariera de acces pentru atacatori mai rapid decât ar putea vreodată îngrijorările legate de „malware-ca-serviciu”.

Practic oricine are acces la internet poate crea acum mostre precum SimpleStealth, accelerând semnificativ ritmul în care pot fi create și implementate noile amenințări.

Cel mai bun mod de a rămâne în siguranță este să evitarea descărcării oricărui lucru de pe site-uri terțe. Cele mai sigure aplicații sunt cele de pe Mac App Store sau direct de pe site-urile web ale dezvoltatorilor care sunt de încredere.