Компания Mosyle выявила кампанию по распространению вредоносного ПО для macOS, использующую код, созданный с помощью генеративного искусственного интеллекта, и распространяющуюся посредством загрузки поддельного приложения, использующего ИИ.
Компания Apple, занимающаяся управлением устройствами, поделилась подробностями о вредоносной программе, получившей название SimpleStealth. Атака распространяется через поддельный веб-сайт, выдающий себя за приложение Grok AI, и обманом заставляет пользователей загрузить вредоносный установщик macOS.
Поддельное приложение Grok распространяется через похожий веб-сайт, а не через Mac App Store. По данным Mosyle, злоумышленники использовали домен xaillc[.]com, чтобы выдать себя за приложение Grok AI и предложить пользователям загрузить вредоносный установщик macOS под названием Grok.dmg.
Grok — это чат-бот с искусственным интеллектом, разработанный компанией xAI и интегрированный с социальной платформой X. Приложение позиционируется как разговорный помощник, который отвечает на вопросы, анализирует сообщения и генерирует текст.
Приложение выглядит и ведёт себя как легитимное программное обеспечение, в то время как в фоновом режиме незаметно выполняются скрытые процессы.
По словам Мосиле, на момент обнаружения вредоносное ПО не было выявлено крупными антивирусными программами. Инфекция основана на известных методах социальной инженерии, запрашивая у пользователей пароль от системы во время, казалось бы, стандартного этапа настройки.
Получив доступ, вредоносная программа обходит средства защиты карантина macOS и запускает свою настоящую полезную нагрузку.
Скрытая добыча ресурсов, спрятанная за поддельным приложением с искусственным интеллектом.
После установки SimpleStealth развертывает майнер криптовалюты Monero, разработанный таким образом, чтобы оставаться незаметным. Майнинг начинается только после того, как Mac находится в режиме ожидания не менее минуты, и прекращается, как только пользователь возвращается.
Майнер также маскируется под обычные системные процессы macOS, такие как kernel_task и launchd. Такая маскировка затрудняет обнаружение аномального поведения с помощью базовых инструментов мониторинга системы.
Исследователи Mosyle утверждают, что вредоносный код демонстрирует явные признаки использования искусственного интеллекта в своей структуре и комментариях. Скрипты содержат подробные объяснения, повторяющуюся логику и смесь английского и бразильского португальского языков.
Эти закономерности очень точно соответствуют результатам, обычно получаемым с помощью больших языковых моделей.
Результаты исследования, опубликованные 9to5Mac, подтверждают опасения, что генеративный ИИ ускоряет разработку вредоносного ПО, снижая технический барьер для злоумышленников. Mosyle предупреждает, что этот сдвиг может привести к ускорению цикла появления новых угроз для macOS, даже если многие отдельные образцы останутся относительно простыми.
Как пользователи Mac могут снизить свой риск
Mosyle советует пользователям избегать загрузки приложений со сторонних веб-сайтов, особенно с сайтов, имитирующих известные сервисы. Программное обеспечение следует устанавливать только из Mac App Store или напрямую от проверенных разработчиков с использованием подтвержденных доменов.
Встроенные в Apple средства защиты обеспечивают важный базовый уровень безопасности, но они не являются абсолютно надежными. Пользователям следует проявлять особую осторожность, когда приложение запрашивает системный пароль во время настройки, особенно если запрос кажется не связанным с основным назначением приложения.
Для организаций инструменты управления устройствами и поведенческий мониторинг могут выявлять подозрительную активность, которую часто пропускает традиционное антивирусное программное обеспечение. Однако этот разрыв, вероятно, увеличится по мере распространения вредоносных программ, использующих искусственный интеллект.
Издание AppleInsider обратилось к Mosyle за дополнительной информацией.
Sourse: appleinsider.com