Mastodon Mastodon Mastodon Mastodon

Бэкдор Gaslight для macOS встраивает промпт-инжекты, чтобы обмануть ИИ-аналитиков

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

Исследователи SentinelOne обнаружили ранее неизвестное семейство вредоносного ПО для macOS под названием Gaslight, сочетающее функции бэкдора и инфостилера. Ключевая особенность — встроенный блок промпт-инжектов, рассчитанный на то, чтобы сбить с толку LLM-модели, которые всё чаще применяются для автоматического анализа вредоносных файлов. Хотя доказательств реальной эффективности этой техники против существующих ИИ-решений пока нет, сам факт её появления сигнализирует о формировании нового класса атак — направленных не на защитную инфраструктуру, а на когнитивные инструменты аналитиков.

Архитектура и промпт-инжекты

Gaslight написан на Rust. В бинарный файл встроен блок объёмом около 3,5 КБ, содержащий 38 поддельных «системных» сообщений, оформленных с использованием Markdown-разметки. По данным исследователей, эти строки имитируют:

  • уведомления об истечении срока действия токенов;
  • предупреждения о нехватке памяти и дискового пространства;
  • сообщения о сбоях Redis и ошибках сборки;
  • ошибки парсинга JSON;
  • ложные срабатывания на SQL-инъекции.

Расчёт авторов вредоноса, как сообщается, строится на том, что LLM, участвующая в автоматизированном анализе, интерпретирует эти строки как системные инструкции или диагностические данные. В результате модель может посчитать результаты анализа некорректными, прервать обработку, сократить ответ или полностью отказаться от продолжения исследования. Как формулируют сами исследователи: «Gaslight атакует восприятие агента, а не песочницу, в которой тот работает».

Принципиально важная оговорка: SentinelOne прямо указывает, что не нашла доказательств успешного обхода реальных ИИ-решений для анализа вредоносного ПО с помощью этих промпт-инжектов. Речь идёт скорее об экспериментальной технике, демонстрирующей направление мысли атакующих.

Управление и функциональность бэкдора

Для управления Gaslight использует Telegram Bot API в качестве канала связи с операторами. Вредонос постоянно опрашивает управляющий канал и предоставляет интерактивный шелл, через который операторы могут:

  • выполнять произвольные команды в системе;
  • завершать процессы;
  • похищать файлы;
  • завершать работу самого вредоноса.

Исследователи также обнаружили признаки команды focus, назначение которой на момент публикации остаётся неизвестным.

Для закрепления в системе Gaslight создаёт LaunchAgent с идентификатором com.apple.system.services.activity — имя намеренно имитирует легитимные системные сервисы Apple.

Компонент кражи данных

За сбор и эксфильтрацию данных отвечает отдельный Python-скрипт размером 6,6 КБ, закодированный в Base64. Его установка выполняется bash-скриптом объёмом около 2 КБ, который загружает интерпретатор CPython 3.10.18 из проекта astral-sh/python-build-standalone. По оценке исследователей, обилие комментариев и эмодзи в коде установщика указывает на то, что он, предположительно, был сгенерирован с помощью LLM.

Стилер собирает широкий спектр данных:

  • историю команд терминала;
  • базу данных Keychain;
  • данные из браузеров Chrome, Brave, Firefox и Safari;
  • список установленных приложений и запущенных процессов;
  • информацию об оборудовании и системе.

Собранные данные упаковываются в архив temp/collected_data.zip и отправляются через Telegram.

Оценка воздействия

Gaslight представляет угрозу прежде всего для пользователей macOS, однако его значение выходит за рамки конкретного семейства вредоносного ПО. Компонент промпт-инжекта — это индикатор того, что авторы малвари начинают учитывать LLM как элемент защитной инфраструктуры и целенаправленно пытаются ему противодействовать. Пока эта техника находится на экспериментальной стадии, но по мере роста зависимости аналитических процессов от ИИ-инструментов подобные подходы могут стать более изощрёнными.

С практической точки зрения, сам бэкдор с интерактивным шеллом и полнофункциональным стилером представляет вполне реальную угрозу: компрометация Keychain, данных четырёх браузеров и системной информации даёт атакующим обширный плацдарм для дальнейших атак.

Рекомендации

  • Проверьте наличие LaunchAgent с идентификатором com.apple.system.services.activity в каталогах ~/Library/LaunchAgents/ и /Library/LaunchAgents/.
  • Проверьте наличие файла temp/collected_data.zip и нетипичных загрузок CPython в системе.
  • Отслеживайте исходящие соединения к API Telegram (api.telegram.org) от процессов, для которых такая активность нехарактерна.
  • Команды, использующие LLM для автоматического анализа вредоносного ПО, должны учитывать риск промпт-инжектов в анализируемых образцах и не полагаться на результаты ИИ-анализа как на единственный источник заключений.
  • Рассмотрите внедрение валидации и фильтрации входных данных перед передачей содержимого подозрительных файлов в LLM-модели.

Gaslight — это практическая демонстрация того, что атакующие начали рассматривать ИИ-инструменты аналитиков как отдельную поверхность атаки. Даже при отсутствии подтверждённой эффективности промпт-инжектов против реальных систем, организациям, интегрирующим LLM в процессы анализа угроз, следует уже сейчас выстраивать многоуровневую валидацию результатов и не делегировать финальные решения модели без человеческого контроля. Параллельно стоит проверить macOS-системы на описанные индикаторы компрометации, поскольку функциональность бэкдора и стилера в Gaslight вполне работоспособна независимо от успеха его антианалитических трюков.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.