macOS Arka Kapı Yapay Zeka Triyajından Kaçmak için İstemi Eklemeyi Kullanıyor Siber Güvenlik

macOS Arka Kapı Yapay Zeka Triyajından Kaçmak için İstemi Eklemeyi Kullanıyor

Kuzey Kore bağlantılı bir macOS arka kapısının, sanal alan analizi yerine kötü amaçlı yazılım analistinin yapay zeka araçlarını hedef alan hızlı bir e...

Kuzey Kore bağlantılı bir macOS arka kapısının, sanal alan analizi yerine kötü amaçlı yazılım analistinin yapay zeka araçlarını hedef alan hızlı bir enjeksiyonu gizlediği yakalandı.

SentinelOne'ın araştırma kolu olan SentinelLabs, Rust implantının yapay zeka destekli triyajı rayından çıkarmak için tasarlanmış 38 fabrikasyon sistem mesajı içerdiğini söyledi.

Firma, kötü amaçlı yazılımı macOS.Gaslight olarak takip etti ve büyük bir güvenle Kuzey Kore faaliyetlerine bağladı.

Analiste Yönelik Hızlı Bir Enjeksiyon

Sistem Güvenliği

Kötü amaçlı yazılım uzun süredir bir sanal alanda veya bir araştırmacının sanal makinesinde çalıştığını tespit etmeye çalışıyor.

Bu örnek bunun yerine araştırmacının araçlarının peşine düştü. Firma, yapay zeka triyaj aracının iç iskelesini taklit edecek şekilde tasarlanmış, Markdown çitleriyle çevrili sahte sistem mesajları bloğu taşıdığını söyledi.

Uydurma mesajlar, belirtecin süresinin dolması, bellek ve disk hataları, tekrarlanan arızalar ve sahte enjeksiyon kusurları konusunda uyarıda bulunuyordu. Amaç, bir yapay zeka ajanını analizini iptal etmeye veya reddetmeye itmekti.

Detaylar ve Etkileri

SentinelLabs, Check Point ve diğerlerinin 2025'ten bu yana yaptığı önceki çalışmalara atıfta bulunarak, hilenin önceki sürümlerinde tek bir enjekte edilmiş blok kullanıldığını söyledi. Bu örnek, 38'i bir basamak halinde istifledi.

Yapay zeka analizini hedefleyen kötü amaçlı yazılımlar hakkında daha fazlasını okuyun: Kötü Amaçlı Yazılım, En Son npm Paket İhlali'nde Yapay Zeka Tespitini Manipüle Ediyor

Nasıl Önlem Alınmalı?

Sertleştirilmiş Telegram Kanalının Arkasındaki Hırsız

Enjeksiyonun arkasında tam bir bilgi hırsızı ve arka kapı vardı. Araştırmacılar, implantın operatöre etkileşimli bir kabuk sunduğunu ve Chrome, Brave, Firefox ve Safari'den tarayıcı verilerini, terminal geçmişlerini, yüklü uygulama listelerini ve macOS oturum açma anahtarlığının bir kopyasını almak için tasarlandığını söyledi. Bu koleksiyonun büyük bir kısmı, kötü amaçlı yazılımın talep üzerine devreye alabileceği bir Python modülünden geçiyordu.

Kötü amaçlı yazılımın komut kanalı, aktarım sırasında gizli kalmak için Telegram'ın Bot API'sini kullandı; trafik şifrelendi ve ağ denetimini engellemek için sertifika sabitlemeyle korundu.

SentinelLabs, yeni olduğunu düşündüğü iki dokunuşu işaretledi. Kötü amaçlı yazılım, çalışma zamanında halka açık bir açık kaynak projesinden bağımsız bir Python yorumlayıcısını çekebilir. Ayrıca, kendi Telegram bot tokenını herhangi bir günlükten veya kilitlenme çıktısından temizlemek için inşa edildi ve savunucuların önemli bir tespit ipucuna sahip olmasını engelledi.

Sonuç ve Değerlendirme

Atıf kısmen Apple'ın, dosyayı firmanın Kuzey Koreli operatörlere bağladığı bir imza ailesi altında işaretleyen kendi XProtect'i aracılığıyla mümkün oldu.

İmplantın ticari ustalığının çoğunun tanıdık olduğunu ekledi; hızlı enjeksiyon göze çarpan kısımdı.

Gelecekte Ne Bekleniyor?

SentinelLabs, "Böyle bir araç geliştiren herkes, önceliklendirdiği örneklerin içeriğini talimat olarak değil, rakip girdi olarak ele almalı ve düşmanca içeriği modelin tamamen dışında tutmaya hazır olmalıdır" diye yazdı. "Yüksek Lisans destekli analiz rutin hale geldikçe, savunucular bundan yararlanmak için daha fazla örneğin oluşturulmasını beklemelidir."

Paylaş: