Mastodon Mastodon Mastodon Mastodon

Gaslight: як бекдор для macOS атакує аналіз на основі LLM

Photo of author

CyberSecureFox Editorial Team

Опубліковано:

Дослідники SentinelOne виявили раніше невідоме сімейство шкідливого ПЗ для macOS під назвою Gaslight, яке поєднує функції бекдора та інфостилера. Ключова особливість — вбудований блок prompt injection, розрахований на те, щоб збити з пантелику LLM-моделі, які дедалі частіше застосовують для автоматичного аналізу шкідливих файлів. Хоча доказів реальної ефективності цієї техніки проти наявних рішень на основі ШІ поки немає, сам факт її появи свідчить про формування нового класу атак — спрямованих не на захисну інфраструктуру, а на когнітивні інструменти аналітиків.

Архітектура та prompt injection

Gaslight написаний на Rust. У бінарний файл вбудовано блок обсягом близько 3,5 КБ, що містить 38 підроблених «системних» повідомлень, оформлених із використанням Markdown-розмітки. За даними дослідників, ці рядки імітують:

  • сповіщення про закінчення строку дії токенів;
  • попередження про нестачу пам’яті та дискового простору;
  • повідомлення про збої Redis і помилки збирання;
  • помилки парсингу JSON;
  • хибні спрацювання на SQL injection.

Розрахунок авторів шкідливого ПЗ, як повідомляється, ґрунтується на тому, що LLM, задіяна в автоматизованому аналізі, інтерпретує ці рядки як системні інструкції або діагностичні дані. У результаті модель може вважати результати аналізу некоректними, перервати обробку, скоротити відповідь або повністю відмовитися від продовження дослідження. Як формулюють самі дослідники: «Gaslight атакує сприйняття агента, а не пісочницю, у якій той працює».

Принципово важливе застереження: SentinelOne прямо зазначає, що не знайшла доказів успішного обходу реальних ІІ-рішень для аналізу шкідливого ПЗ за допомогою цих prompt injection. Йдеться радше про експериментальну техніку, яка демонструє напрям думки зловмисників.

Керування та функціональність бекдора

Для керування Gaslight використовує Telegram Bot API як канал зв’язку з операторами. Шкідливе ПЗ постійно опитує керівний канал і надає інтерактивний shell, через який оператори можуть:

  • виконувати довільні команди в системі;
  • завершувати процеси;
  • викрадати файли;
  • завершувати роботу самого шкідливого ПЗ.

Дослідники також виявили ознаки команди focus, призначення якої на момент публікації залишається невідомим.

Для закріплення в системі Gaslight створює LaunchAgent з ідентифікатором com.apple.system.services.activity — назва свідомо імітує легітимні системні сервіси Apple.

Компонент викрадення даних

За збирання та ексфільтрацію даних відповідає окремий Python-скрипт розміром 6,6 КБ, закодований у Base64. Його встановлення здійснюється bash-скриптом обсягом близько 2 КБ, який завантажує інтерпретатор CPython 3.10.18 з проєкту astral-sh/python-build-standalone. На думку дослідників, велика кількість коментарів та емодзі в коді інсталятора вказує на те, що він, ймовірно, був згенерований за допомогою LLM.

Стилер збирає широкий спектр даних:

  • історію команд термінала;
  • базу даних Keychain;
  • дані з браузерів Chrome, Brave, Firefox і Safari;
  • список встановлених застосунків і запущених процесів;
  • інформацію про обладнання та систему.

Зібрані дані пакуються в архів temp/collected_data.zip і надсилаються через Telegram.

Оцінка впливу

Gaslight становить загрозу насамперед для користувачів macOS, однак його значущість виходить за межі конкретного сімейства шкідливого ПЗ. Компонент prompt injection — це індикатор того, що автори шкідливого ПЗ починають враховувати LLM як елемент захисної інфраструктури й цілеспрямовано намагаються їй протидіяти. Поки ця техніка перебуває на експериментальній стадії, але в міру зростання залежності аналітичних процесів від інструментів ШІ подібні підходи можуть стати більш витонченими.

З практичного погляду, сам бекдор з інтерактивним shell і повнофункціональним стилером становить цілком реальну загрозу: компрометація Keychain, даних чотирьох браузерів і системної інформації дає зловмисникам широкий плацдарм для подальших атак.

Рекомендації

  • Перевірте наявність LaunchAgent з ідентифікатором com.apple.system.services.activity у каталогах ~/Library/LaunchAgents/ і /Library/LaunchAgents/.
  • Перевірте наявність файлу temp/collected_data.zip і нетипових завантажень CPython у системі.
  • Відстежуйте вихідні з’єднання до API Telegram (api.telegram.org) від процесів, для яких така активність не є типовою.
  • Команди, що використовують LLM для автоматизованого аналізу шкідливого ПЗ, мають враховувати ризик prompt injection в аналізованих зразках і не покладатися на результати ІІ-аналізу як на єдине джерело висновків.
  • Розгляньте впровадження валідації та фільтрації вхідних даних перед передаванням вмісту підозрілих файлів до LLM-моделей.

Gaslight — це практична демонстрація того, що зловмисники почали розглядати інструменти ШІ, якими користуються аналітики, як окрему площину атаки. Навіть попри відсутність підтвердженої ефективності prompt injection проти реальних систем, організаціям, що інтегрують LLM у процеси аналізу загроз, варто вже зараз вибудовувати багаторівневу валідацію результатів і не делегувати фінальні рішення моделі без участі людини. Паралельно варто перевірити macOS-системи на описані індикатори компрометації, оскільки функціональність бекдора та стилера в Gaslight цілком працездатна незалежно від успіху його антианалітичних трюків.


CyberSecureFox Editorial Team

Редакція CyberSecureFox висвітлює новини кібербезпеки, уразливості, malware-кампанії, ransomware-активність, AI security, cloud security та security advisories вендорів. Матеріали готуються на основі official advisories, даних CVE/NVD, сповіщень CISA, публікацій вендорів і відкритих звітів дослідників. Статті перевіряються перед публікацією та оновлюються за появи нових даних.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.