Связанные с КНДР хакеры разработали ранее неизвестное вредоносное ПО для macOS, которое не только крадет данные пользователей, но и пытается обмануть системы анализа на базе искусственного интеллекта (ИИ). Об этом сообщает The Hacker News (THN) со ссылкой на исследование SentinelOne.
Вредоносная программа, получившая название Gaslight, написана на языке Rust и использует встроенный механизм prompt injection, который представляет собой специально спроектированный запросы для ИИ. В код встроены десятки ложных системных сообщений о сбоях, нехватке памяти, переполнении диска и ошибках анализа, которые должны заставить ИИ-инструменты отказаться от исследования образца или преждевременно завершить его.
Для управления зараженными устройствами Gaslight использует Telegram Bot API. Вирус способен выполнять команды в оболочке, завершать процессы, загружать файлы и передавать украденные данные через Telegram. Кроме того, он собирает историю команд Terminal, список установленных приложений, сведения о процессах, данные системного профиля, содержимое связки ключей macOS, а также информацию из браузеров Chrome, Brave, Firefox и Safari.
По данным SentinelOne, конфигурация Telegram-бота не хранится в коде программы, а передается во время выполнения. Дополнительно вредоносная программа скрывает токен бота в собственных журналах работы, усложняя расследование.
Исследователи считают, что целью встроенной prompt injection-атаки является растущее число ИИ-систем, используемых специалистами по кибербезопасности для анализа вредоносного ПО.
Ранее россиян предупредили о крадущем «Госуслуги» вирусе, замаскированном под защищенные мессенджеры.
