Software

Mosyle, o firma de gestionare si securitate a dispozitivelor Apple, a identificat o campanie malware macOS, pe care a numit-o SimpleStealth.

Desi minerii de criptomonede pe macOS nu sunt o noutate, descoperirea facuta pare a fi primul esantion de malware Mac descoperit in mediul online care contine cod din modele generative de inteligenta artificiala - confirmand oficial ceea ce era inevitabil.

Echipa de cercetare in securitate a Mosyle a precizat ca amenintarea nu a fost detectata de niciunul dintre motoarele antivirus majore.

Acest lucru vine la aproape un an dupa ce Moonlock Lab a avertizat despre discutiile de pe forumurile dark web care indicau cat de mari erau folosite modele lingvistice pentru a scrie malware care vizeaza macOS.

Campania SimpleStealth, se raspandeste prin intermediul unui site web fals, convingator, care se da drept populara aplicatie de inteligenta artificiala, Grok.

Actorii amenintatori folosesc un domeniu similar pentru a pacali utilizatorii sa descarce un program de instalare macOS rau intentionat. La lansare, victimelor li se prezinta ceea ce pare a fi o aplicatie Grok complet functionala, care arata si se comporta ca cea reala.

Aceasta este o tehnica obisnuita utilizata pentru a mentine aplicatia in prim-plan, in timp ce activitatea rau intentionata ruleaza discret in fundal, permitand malware-ului sa functioneze mai mult timp fara a fi observat.

Potrivit lui Mosyle, SimpleStealth este conceput pentru a ocoli masurile de securitate macOS in timpul primei executii. Aplicatia solicita utilizatorului parola de sistem sub pretextul finalizarii unei sarcini simple de configurare.

Acest lucru permite malware-ului sa elimine protectiile de carantina ale Apple si sa pregateasca adevarata sa incarcatura utila. Din perspectiva utilizatorului, totul pare normal, deoarece aplicatia continua sa afiseze continut familiar legat de inteligenta artificiala, asa cum ar face-o aplicatia Grok reala.

In culise, insa, malware-ul implementeaza minerul de criptomonede Monero (XMR) care se lauda ca are "plati mai rapide" si este "confidential si imposibil de urmarit" pe site-ul sau.

Pentru a ramane ascuns, activitatea de minare incepe doar atunci cand Mac-ul a fost inactiv timp de cel putin un minut si se opreste imediat cand utilizatorul misca mouse-ul sau tasteaza.

Minerul se deghizeaza in continuare prin imitarea proceselor comune de sistem, cum ar fi kernel_task si launchd, ceea ce face mult mai dificila detectarea a unui comportament anormal.

Utilizarea inteligentei artificiale se regaseste in tot codul malware-ului, care contine comentarii neobisnuit de lungi, un amestec de engleza si portugheza braziliana si modele logice repetitive caracteristice scripturilor generate de inteligenta artificiala.

Per total, aceasta situatie este alarmanta din mai multe motive. In principal, pentru ca inteligenta artificiala reduce bariera de acces pentru atacatori mai rapid decat ar putea vreodata ingrijorarile legate de "malware-ca-serviciu".

Practic oricine are acces la internet poate crea acum mostre precum SimpleStealth, accelerand semnificativ ritmul in care pot fi create si implementate noile amenintari.

Cel mai bun mod de a ramane in siguranta este sa evitarea descarcarii oricarui lucru de pe site-uri terte. Cele mai sigure aplicatii sunt cele de pe Mac App Store sau direct de pe site-urile web ale dezvoltatorilor care sunt de incredere.

Articolul SimpleStealth, una dintre primele malware Mac asistate de IA apare prima data in Go4IT.