Исследователи SentinelOne обнаружили ранее неизвестное семейство вредоносного ПО для macOS под названием Gaslight, сочетающее функции бэкдора и инфостилера. Ключевая особенность — встроенный блок промпт-инжектов, рассчитанный на то, чтобы сбить с толку LLM-модели, которые всё чаще применяются для автоматического анализа вредоносных файлов. Хотя доказательств реальной эффективности этой техники против существующих ИИ-решений пока нет, сам факт её появления сигнализирует о формировании нового класса атак — направленных не на защитную инфраструктуру, а на когнитивные инструменты аналитиков.
Архитектура и промпт-инжекты
Gaslight написан на Rust. В бинарный файл встроен блок объёмом около 3,5 КБ, содержащий 38 поддельных «системных» сообщений, оформленных с использованием Markdown-разметки. По данным исследователей, эти строки имитируют:
- уведомления об истечении срока действия токенов;
- предупреждения о нехватке памяти и дискового пространства;
- сообщения о сбоях Redis и ошибках сборки;
- ошибки парсинга JSON;
- ложные срабатывания на SQL-инъекции.
Расчёт авторов вредоноса, как сообщается, строится на том, что LLM, участвующая в автоматизированном анализе, интерпретирует эти строки как системные инструкции или диагностические данные. В результате модель может посчитать результаты анализа некорректными, прервать обработку, сократить ответ или полностью отказаться от продолжения исследования. Как формулируют сами исследователи: «Gaslight атакует восприятие агента, а не песочницу, в которой тот работает».
Принципиально важная оговорка: SentinelOne прямо указывает, что не нашла доказательств успешного обхода реальных ИИ-решений для анализа вредоносного ПО с помощью этих промпт-инжектов. Речь идёт скорее об экспериментальной технике, демонстрирующей направление мысли атакующих.
Управление и функциональность бэкдора
Для управления Gaslight использует Telegram Bot API в качестве канала связи с операторами. Вредонос постоянно опрашивает управляющий канал и предоставляет интерактивный шелл, через который операторы могут:
- выполнять произвольные команды в системе;
- завершать процессы;
- похищать файлы;
- завершать работу самого вредоноса.
Исследователи также обнаружили признаки команды focus, назначение которой на момент публикации остаётся неизвестным.
Для закрепления в системе Gaslight создаёт LaunchAgent с идентификатором com.apple.system.services.activity — имя намеренно имитирует легитимные системные сервисы Apple.
Компонент кражи данных
За сбор и эксфильтрацию данных отвечает отдельный Python-скрипт размером 6,6 КБ, закодированный в Base64. Его установка выполняется bash-скриптом объёмом около 2 КБ, который загружает интерпретатор CPython 3.10.18 из проекта astral-sh/python-build-standalone. По оценке исследователей, обилие комментариев и эмодзи в коде установщика указывает на то, что он, предположительно, был сгенерирован с помощью LLM.
Стилер собирает широкий спектр данных:
- историю команд терминала;
- базу данных Keychain;
- данные из браузеров Chrome, Brave, Firefox и Safari;
- список установленных приложений и запущенных процессов;
- информацию об оборудовании и системе.
Собранные данные упаковываются в архив temp/collected_data.zip и отправляются через Telegram.
Оценка воздействия
Gaslight представляет угрозу прежде всего для пользователей macOS, однако его значение выходит за рамки конкретного семейства вредоносного ПО. Компонент промпт-инжекта — это индикатор того, что авторы малвари начинают учитывать LLM как элемент защитной инфраструктуры и целенаправленно пытаются ему противодействовать. Пока эта техника находится на экспериментальной стадии, но по мере роста зависимости аналитических процессов от ИИ-инструментов подобные подходы могут стать более изощрёнными.
С практической точки зрения, сам бэкдор с интерактивным шеллом и полнофункциональным стилером представляет вполне реальную угрозу: компрометация Keychain, данных четырёх браузеров и системной информации даёт атакующим обширный плацдарм для дальнейших атак.
Рекомендации
- Проверьте наличие LaunchAgent с идентификатором
com.apple.system.services.activityв каталогах~/Library/LaunchAgents/и/Library/LaunchAgents/. - Проверьте наличие файла
temp/collected_data.zipи нетипичных загрузок CPython в системе. - Отслеживайте исходящие соединения к API Telegram (
api.telegram.org) от процессов, для которых такая активность нехарактерна. - Команды, использующие LLM для автоматического анализа вредоносного ПО, должны учитывать риск промпт-инжектов в анализируемых образцах и не полагаться на результаты ИИ-анализа как на единственный источник заключений.
- Рассмотрите внедрение валидации и фильтрации входных данных перед передачей содержимого подозрительных файлов в LLM-модели.
Gaslight — это практическая демонстрация того, что атакующие начали рассматривать ИИ-инструменты аналитиков как отдельную поверхность атаки. Даже при отсутствии подтверждённой эффективности промпт-инжектов против реальных систем, организациям, интегрирующим LLM в процессы анализа угроз, следует уже сейчас выстраивать многоуровневую валидацию результатов и не делегировать финальные решения модели без человеческого контроля. Параллельно стоит проверить macOS-системы на описанные индикаторы компрометации, поскольку функциональность бэкдора и стилера в Gaslight вполне работоспособна независимо от успеха его антианалитических трюков.