Mastodon Mastodon Mastodon Mastodon

Gaslight: Neue macOS-Rust-Backdoor mit Prompt-Injection gegen LLM-Analysen

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Forscher von SentinelOne haben ein bislang unbekanntes Malware-Familie für macOS namens Gaslight entdeckt, die Backdoor- und Infostealer-Funktionalität kombiniert. Das zentrale Merkmal ist ein eingebetteter Block von Prompt-Injections, der darauf ausgelegt ist, LLM-Modelle zu verwirren, die zunehmend für die automatisierte Analyse von Schadcode eingesetzt werden. Auch wenn es bislang keine Belege für die tatsächliche Wirksamkeit dieser Technik gegen bestehende KI-Lösungen gibt, signalisiert allein ihre Existenz die Entstehung einer neuen Klasse von Angriffen – nicht gegen die Schutzinfrastruktur, sondern gegen die kognitiven Werkzeuge der Analysten.

Architektur und Prompt-Injections

Gaslight ist in Rust geschrieben. In die Binärdatei ist ein Block von rund 3,5 KB eingebettet, der 38 gefälschte „System“-Nachrichten enthält, formatiert mit Markdown. Nach Angaben der Forscher imitieren diese Strings:

  • Hinweise auf abgelaufene Tokens;
  • Warnungen über Speichermangel und fehlenden Plattenplatz;
  • Meldungen zu Redis-Abstürzen und Build-Fehlern;
  • Fehler beim Parsen von JSON;
  • False Positives auf SQL injection.

Die Autoren der Malware setzen laut Bericht darauf, dass eine LLM, die an der automatisierten Analyse beteiligt ist, diese Strings als Systemanweisungen oder Diagnosedaten interpretiert. In der Folge könnte das Modell die Analyseergebnisse für fehlerhaft halten, die Verarbeitung abbrechen, die Antwort stark kürzen oder die Untersuchung vollständig verweigern. Wie die Forscher es formulieren: „Gaslight attackiert die Wahrnehmung des Agenten, nicht die Sandbox, in der er ausgeführt wird“.

Eine grundsätzlich wichtige Einschränkung: SentinelOne weist ausdrücklich darauf hin, dass keine Belege gefunden wurden, dass sich mit diesen Prompt-Injections reale KI-Lösungen zur Malware-Analyse erfolgreich umgehen lassen. Es handelt sich eher um eine experimentelle Technik, die die Denkrichtung der Angreifer aufzeigt.

Steuerung und Funktionalität der Backdoor

Zur Steuerung nutzt Gaslight die Telegram Bot API als Kommunikationskanal zu den Operatoren. Die Malware fragt den Steuerkanal fortlaufend ab und stellt einen interaktiven Shell bereit, über den die Operatoren:

  • beliebige Kommandos im System ausführen;
  • Prozesse beenden;
  • Dateien exfiltrieren;
  • die Malware selbst beenden können.

Die Forscher fanden außerdem Hinweise auf einen Befehl focus, dessen Zweck zum Zeitpunkt der Veröffentlichung noch unbekannt war.

Zur Persistenz im System legt Gaslight einen LaunchAgent mit der Kennung com.apple.system.services.activity an – ein Name, der bewusst legitime Apple-Systemdienste imitiert.

Komponente zur Datendiebstahl

Für das Sammeln und die Exfiltration der Daten ist ein separater Python-Skript mit einer Größe von 6,6 KB verantwortlich, der in Base64 kodiert ist. Die Installation erfolgt über ein rund 2 KB großes bash-Skript, das den Interpreter CPython 3.10.18 aus dem Projekt astral-sh/python-build-standalone lädt. Nach Einschätzung der Forscher weist die Vielzahl an Kommentaren und Emojis im Installer-Code darauf hin, dass er vermutlich mit Hilfe einer LLM generiert wurde.

Der Stealer sammelt ein breites Spektrum an Daten:

  • die Historie der Terminal-Kommandos;
  • die Keychain-Datenbank;
  • Daten aus den Browsern Chrome, Brave, Firefox und Safari;
  • eine Liste installierter Anwendungen und laufender Prozesse;
  • Informationen zur Hardware und zum System.

Die gesammelten Daten werden in einem Archiv temp/collected_data.zip gebündelt und über Telegram versendet.

Auswirkungsanalyse

Gaslight stellt in erster Linie eine Bedrohung für macOS-Nutzer dar, seine Bedeutung reicht jedoch über diese eine Malware-Familie hinaus. Die Prompt-Injection-Komponente ist ein Indikator dafür, dass Malware-Autoren LLMs inzwischen als Teil der Schutzinfrastruktur betrachten und gezielt versuchen, diese zu unterlaufen. Noch befindet sich diese Technik in einer experimentellen Phase, doch je stärker Analyseprozesse von KI-Werkzeugen abhängen, desto ausgefeilter könnten entsprechende Ansätze werden.

Aus praktischer Sicht stellt bereits die Backdoor mit interaktivem Shell und vollwertigem Stealer eine sehr reale Bedrohung dar: Die Kompromittierung von Keychain, Daten aus vier Browsern sowie Systeminformationen verschafft Angreifern eine breite Ausgangsbasis für weitere Attacken.

Empfehlungen

  • Prüfen Sie, ob ein LaunchAgent mit der Kennung com.apple.system.services.activity in den Verzeichnissen ~/Library/LaunchAgents/ und /Library/LaunchAgents/ vorhanden ist.
  • Prüfen Sie, ob die Datei temp/collected_data.zip existiert und ob es untypische Downloads von CPython im System gibt.
  • Überwachen Sie ausgehende Verbindungen zur Telegram-API (api.telegram.org) von Prozessen, für die eine solche Aktivität untypisch ist.
  • Teams, die LLMs für die automatisierte Malware-Analyse einsetzen, sollten das Risiko von Prompt-Injections in analysierten Samples berücksichtigen und die Ergebnisse der KI-Analyse nicht als alleinige Entscheidungsgrundlage verwenden.
  • Ziehen Sie eine Validierung und Filterung von Eingabedaten in Betracht, bevor Inhalte verdächtiger Dateien an LLM-Modelle übergeben werden.

Gaslight ist ein praktischer Beleg dafür, dass Angreifer die KI-Werkzeuge von Analysten als eigene Angriffsfläche betrachten. Selbst ohne bestätigte Wirksamkeit der Prompt-Injections gegen reale Systeme sollten Organisationen, die LLMs in ihre Threat-Analysis-Prozesse integrieren, bereits jetzt eine mehrstufige Validierung der Ergebnisse etablieren und finale Entscheidungen nicht ohne menschliche Kontrolle an das Modell delegieren. Parallel dazu sollten macOS-Systeme auf die beschriebenen Indikatoren einer Kompromittierung geprüft werden, da die Backdoor- und Stealer-Funktionalität von Gaslight unabhängig vom Erfolg der Anti-Analyse-Tricks voll funktionsfähig ist.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.