Недавно обнаруженная вредоносная программа для macOS под названием Gaslight предназначена для того, чтобы мешать работе инструментов анализа вредоносного ПО с поддержкой ИИ. Исследователи безопасности всё чаще используют ИИ-инструменты для анализа вредоносного ПО и реверс-инжиниринга.
Во вредоносе содержатся строки, которые пытаются ввести в заблуждение ИИ-инструменты анализа, заставляя их «поверить» в наличие ошибки анализа или другой проблемы. Это может привести к прерыванию, сокращению или иному срыву процесса анализа.
По данным SentinelLabs (исследовательское подразделение SentinelOne), вредонос с высокой степенью уверенности связывают с северокорейской группировкой – образец детектируется правилом Apple XProtect под сигнатурой BONZAI, которую исследователи относят к активности КНДР.
Бэкдор и кража данных на Rust
Сам вредонос представляет собой исполняемый файл на Rust с функциями бэкдора и кражи данных. Такие возможности часто встречаются в похожем вредоносном ПО. Управление осуществляется через канал на основе Telegram Bot API: оператор получает интерактивную оболочку на заражённой системе и может выполнять команды. Трафик шифруется по AES-GCM с закреплением сертификата (certificate pinning), что затрудняет перехват средствами сетевого мониторинга.
Для кражи данных используется встроенный Python-скрипт, который собирает истории команд терминала, список установленных приложений, сведения о запущенных процессах, профиль оборудования и системы, базу связки ключей macOS (Keychain), а также данные браузеров Chrome, Brave, Firefox и Safari. Собранные файлы упаковываются в ZIP-архив и выгружаются через Telegram. Для закрепления в системе вредонос создаёт LaunchAgent с меткой com.apple.system.services.activity, маскируясь под системную службу Apple.
38 поддельных системных сообщений против ИИ-анализа
Отличительной особенностью этого вредоносного ПО является полезная нагрузка размером 3,5 КБ, содержащая 38 поддельных «системных» сообщений, встроенных непосредственно в двоичный файл.
Поддельные сообщения маскируются под журналы разработчиков, отчёты о сбоях, вывод отладочной информации и программные предупреждения, используя форматирование Markdown и заполнители в стиле шаблонов, чтобы выглядеть как подлинные аналитические данные.
К примерам относятся сфабрикованные дампы памяти, предупреждения об истечении срока действия токенов, сбои при подключении к Redis, ошибки в конвейере сборки, предупреждения о SQL-инъекциях и другие сообщения, не имеющие отношения к реальному поведению вредоносного ПО.
По данным SentinelOne, цель этих фальшивых ошибок – не обход песочницы, а воздействие на ИИ-системы, которые считывают строки во время автоматического анализа:
Его наиболее заметной особенностью является встроенный каскад сфабрикованных сообщений о сбоях системы, призванный заставить оператора по сортировке обращений, использующего LLM, усомниться в достоверности собственной сессии. Атака нацелена на восприятие агента, а не на «песочницу», в которой он работает. Соответственно, мы называем это семейство macOS.Gaslight.
SentinelOne отмечает, что эти строки представляют собой «инъекцию промта», которая должна заставить LLM-конвейер анализа усомниться в валидности собственной сессии или отказаться от дальнейшего анализа образца. Исследователи поясняют:
Эта платформа содержит поддельные системные сообщения об истечении срока действия токена, прерывании работы из-за нехватки памяти, исчерпании дискового пространства и повторяющихся сбоях операций. Кроме того, она генерирует ложные предупреждения об уязвимостях, связанных с внедрением кода, и сигналы статического анализа. Цель состоит в том, чтобы заставить LLM-агент прервать анализ, сократить или вовсе отказаться от него.
SentinelOne не показала, что эта техника уже может успешно обходить ИИ-платформы для анализа вредоносного ПО. Однако находка указывает на то, что злоумышленники экспериментируют с методами противодействия анализу, рассчитанными именно на защитные платформы с поддержкой ИИ. По мере того как ИИ-анализ становится рутинной практикой, разработчикам таких инструментов следует относиться к содержимому исследуемых образцов как к враждебным входным данным, а не как к инструкциям.