Mosyleμια δημοφιλής εταιρεία διαχείρισης συσκευών και ασφάλειας της Apple, έχει μοιραστεί αποκλειστικά λεπτομέρειες με 9 έως 5 Mac σε μια προηγουμένως άγνωστη καμπάνια κακόβουλου λογισμικού macOS. Αν και οι εξορύκτες κρυπτογράφησης στο macOS δεν είναι κάτι καινούργιο, η ανακάλυψη φαίνεται να είναι το πρώτο δείγμα κακόβουλου λογισμικού Mac που αποκαλύφθηκε στην άγρια φύση και περιέχει κώδικα από μοντέλα γενετικής τεχνητής νοημοσύνης – επιβεβαιώνοντας επίσημα αυτό που ήταν αναπόφευκτο.
Κατά τη στιγμή της ανακάλυψης, η ερευνητική ομάδα ασφαλείας του Mosyle λέει ότι η απειλή δεν εντοπίστηκε από όλες τις μεγάλες μηχανές προστασίας από ιούς. Αυτό έρχεται σχεδόν ένα χρόνο μετά Η Moonlock Lab προειδοποίησε σχετικά με τη φλυαρία σε φόρουμ σκοτεινού ιστού που υποδεικνύουν πώς χρησιμοποιούνταν μοντέλα μεγάλων γλωσσών για τη σύνταξη κακόβουλου λογισμικού που στόχευε το macOS.
Η καμπάνια, την οποία η Mosyle ονομάζει SimpleStealth, εξαπλώνεται μέσω μιας πειστικής ψεύτικης ιστοσελίδας που υποδύεται τη δημοφιλή εφαρμογή AI, Grok. Οι φορείς απειλών χρησιμοποιούν έναν τομέα που μοιάζει με το ίδιο για να εξαπατήσουν τους χρήστες να κατεβάσουν ένα κακόβουλο πρόγραμμα εγκατάστασης macOS. Όταν εκκινείται, παρουσιάζεται στα θύματα αυτό που φαίνεται να είναι μια πλήρως λειτουργική εφαρμογή Grok που μοιάζει και συμπεριφέρεται σαν την πραγματική. Αυτή είναι μια κοινή τεχνική που χρησιμοποιείται για να διατηρείται η εφαρμογή μπροστά και στο κέντρο, ενώ η κακόβουλη δραστηριότητα εκτελείται αθόρυβα στο παρασκήνιο, επιτρέποντας στο κακόβουλο λογισμικό να λειτουργεί περισσότερο χωρίς να γίνεται αντιληπτό.
Σύμφωνα με το Mosyle, το SimpleStealth έχει σχεδιαστεί για να παρακάμπτει τις δικλείδες ασφαλείας του macOS κατά την πρώτη του εκτέλεση. Η εφαρμογή ζητά από τον χρήστη τον κωδικό πρόσβασης του συστήματός του υπό το πρόσχημα της ολοκλήρωσης μιας απλής εργασίας εγκατάστασης. Αυτό επιτρέπει στο κακόβουλο λογισμικό να αφαιρέσει τις προστασίες καραντίνας της Apple και να προετοιμάσει το πραγματικό του ωφέλιμο φορτίο. Από την πλευρά του χρήστη, όλα φαίνονται φυσιολογικά, καθώς η εφαρμογή συνεχίζει να εμφανίζει οικείο περιεχόμενο που σχετίζεται με την τεχνητή νοημοσύνη, όπως θα έκανε η πραγματική εφαρμογή Grok.
Πίσω από τις σκηνές, ωστόσο, το κακόβουλο λογισμικό αναπτύσσει το κρυφό crypto miner Monero (XMR) που μπορεί να υπερηφανεύεται ότι έχει «γρηγορότερες πληρωμές» και είναι «εμπιστευτικό και μη ανιχνεύσιμο» στον ιστότοπό του. Για να παραμείνει κρυφή, η δραστηριότητα εξόρυξης ξεκινά μόνο όταν το Mac είναι σε αδράνεια για τουλάχιστον ένα λεπτό και σταματά αμέσως όταν ο χρήστης μετακινήσει το ποντίκι ή πληκτρολογήσει. Ο εξορύκτης μεταμφιέζεται περαιτέρω μιμούμενος κοινές διαδικασίες συστήματος όπως kernel_task και launchdκαθιστώντας πολύ πιο δύσκολο για τους χρήστες να εντοπίσουν μη φυσιολογική συμπεριφορά.
Σε στοιχεία που είδε ο 9 έως 5 Macη χρήση της τεχνητής νοημοσύνης εντοπίζεται σε όλο τον κώδικα του κακόβουλου λογισμικού, ο οποίος περιλαμβάνει ασυνήθιστα μακροσκελείς σχόλια, ένα μείγμα αγγλικών και πορτογαλικών βραζιλιάνικων και επαναλαμβανόμενων λογικών μοτίβων που είναι χαρακτηριστικά των σεναρίων που δημιουργούνται από AI.
Συνολικά, αυτή η κατάσταση είναι ανησυχητική για πολλούς λόγους. Κυρίως επειδή η τεχνητή νοημοσύνη μειώνει το εμπόδιο εισόδου για τους επιτιθέμενους πιο γρήγορα από ό,τι θα μπορούσαν ποτέ οι ανησυχίες σχετικά με το «κακόβουλο λογισμικό ως υπηρεσία». Σχεδόν οποιοσδήποτε έχει πρόσβαση στο διαδίκτυο μπορεί πλέον να δημιουργήσει δείγματα όπως το SimpleStealth, επιταχύνοντας σημαντικά τον ρυθμό με τον οποίο μπορούν να δημιουργηθούν και να αναπτυχθούν νέες απειλές.
Ο καλύτερος τρόπος για να παραμείνετε ασφαλείς είναι να αποφύγετε τη λήψη οτιδήποτε από ιστότοπους τρίτων. Προμηθεύεστε πάντα τις εφαρμογές σας απευθείας από το Mac App Store ή απευθείας από ιστότοπους προγραμματιστών που εμπιστεύεστε.
φάollow Arin: Twitter/X, LinkedIn, Νήματα
Δείκτες συμβιβασμού
Παρακάτω μπορείτε να βρείτε τους Indicators of Compromise (IoCs) του δείγματος SimpleStealth για τη δική σας έρευνα ή για να βελτιώσετε τον εντοπισμό στον οργανισμό σας. Να είστε προσεκτικοί όταν επισκέπτεστε τυχόν τομείς που παρατηρούνται.
Οικογένεια κακόβουλου λογισμικού: SimpleStealth
Όνομα διανομής: Grok.dmg
Πλατφόρμα στόχου: macOS
Παρατηρούμενος τομέας: xaillc[.]com
Διεύθυνση Πορτοφολιού: 4AcczC58XW7BvJoDq8NCG1esaMJMWjA1S2eAcg1moJvmPWhU1PQ6ZYWbPk3iMsZSqigqVNQ3cWR8MQ43xwfV2gwFA6GofS3
Κατακερματισμοί SHA-256:
- 553ee94cf9a0acbe806580baaeaf9dea3be18365aa03775d1e263484a03f7b3e (Grok.dmg)
- e379ee007fc77296c9ad75769fd01ca77b1a5026b82400dbe7bfc8469b42d9c5 (Grok wrapper)
- 2adac881218faa21638b9d5ccc05e41c0c8f2635149c90a0e7c5650a4242260b (grok_main.py)
- 688ad7cc98cf6e4896b3e8f21794e33ee3e2077c4185bb86fcd48b63ec39771e (idle_monitor.py)
- 7813a8865cf09d34408d2d8c58452dbf4f550476c6051d3e85d516e507510aa0 (working_stealth_miner.py)
FTC: Χρησιμοποιούμε συνδέσμους θυγατρικών που κερδίζουν αυτόματα εισόδημα. Περισσότερο.
Via: 9to5mac.com
