Yeni Gaslight macOS Kötü Amaçlı Yazılımı Yapay Zeka Destekli Analizi Engellemek için İstemi Eklemeyi Kullanıyor Windows

Yeni Gaslight macOS Kötü Amaçlı Yazılımı Yapay Zeka Destekli Analizi Engellemek için İstemi Eklemeyi Kullanıyor

Daha önce belgelenmemiş bir Rust tabanlı macOS implantı ve bilgi hırsızının, kötü amaçlı yazılım analistinin yapay zeka (AI) araçlarını kandırmak ve e...

Daha önce belgelenmemiş bir Rust tabanlı macOS implantı ve bilgi hırsızının, kötü amaçlı yazılım analistinin yapay zeka (AI) araçlarını kandırmak ve eserin analizini iptal etmesi veya reddetmesi için onu kandırmak üzere tasarlanmış hızlı bir enjeksiyon yükünü yerleştirdiği tespit edildi.

Bu aldatıcı davranış nedeniyle kötü amaçlı yazılıma Gaslight adı verildi. Aracın Kuzey Kore bağlantılı tehdit aktörlerinin işi olduğu büyük bir güvenle değerlendirildi.

SentinelOne araştırmacısı Phil Stokes, teknik bir raporda şunları söyledi: "En dikkate değer özelliği, yüksek lisans destekli bir triyaj temsilcisinin kendi oturumundan şüphe etmesini sağlamak için tasarlanmış, yerleşik bir dizi fabrikasyon sistem hatası mesajıdır." "İçinde çalıştığı sanal alan yerine aracının algısına saldırıyor."

Kötü amaçlı yazılımın mimarisinin merkezinde, bir yoklama döngüsüne giren ve operatörün etkileşimli bir kabuk üzerinden talimatlar vermesine ve yürütme sonuçlarını geri göndermesine olanak tanıyan Telegram bot API tabanlı bir komut ve kontrol (C2) kanalı bulunuyor. Aynı bot token yoklamasının iki örneğinin eş zamanlı olması durumunda, bir "Çakışma" yanıtı yayınlanarak ikinci kopyanın sonlandırılmasına neden olur.

Kabuk altı ana komutu destekleyerek virüs bulaşmış ana bilgisayar üzerinde kalıcı bir dayanak sağlar:

yardım, komut yardımını göstermek için

ID, implantı operatöre tanıtmak için

kabuk, execvp yoluyla bir kabuk komutunu yürütmek için

kill, PID ile hedef süreci sonlandırmak için

Telegram'ın "attach://" mekanizması aracılığıyla bir dosyayı dışarı çıkarmak için yükleme

Durdurmak, implantın yürütülmesini durdurmak için

SentinelOne, "odaklanma" adı verilen yedinci bir komutun varlığına işaret eden işaretler tespit ettiğini ancak işlevselliğinin bu aşamada belirsizliğini koruduğunu söyledi. Kalıcılığı sağlamak için Gaslight, .plist dosyasında "com.apple.system.services.activity" etiketini kullanan bir LaunchAgent'tan yararlanır.

Kötü amaçlı yazılımın içinde ayrıca Terminal komut geçmişlerini, yüklü uygulama listelerini, çalışan işlemlerin anlık görüntülerini, sistem donanımı ve yazılım profilini, macOS Anahtar Zinciri veritabanını ve Chrome, Brave, Firefox ve Safari web tarayıcılarından verileri toplamaktan sorumlu bir bilgi toplama paketi olarak işlev gören 6,6 KB Base64 kodlu bir Python komut dosyası da bulunmaktadır. Toplanan veriler daha sonra bir ZIP arşivine ("temp/collected_data.zip") sıkıştırılır ve Telegram aracılığıyla yüklenir.

Python hırsızı, "astral-sh/python-build-standalone" projesinden bir cpython-3.10.18 yorumlayıcısını bırakan ayrı bir 2 KB Base64 kodlu bash yükleyicisi aracılığıyla dağıtılır. Emojilerin ve kapsamlı yorum başlıklarının varlığı, bunun büyük olasılıkla büyük bir dil modeli (LLM) kullanılarak oluşturulduğunu gösterir.

Gaslight'ta dikkate değer olan şey, bot jetonu, sohbet kimliği (tg_room_id) ve operatör yapılandırmasının geri kalanıyla ilgili ayrıntıların örneğe sabit olarak kodlanmaması, bunun yerine çalışma zamanında sağlanmasıdır. Stokes, "İmplant, Telegram bot tokenini kendi çalışma zamanı çıkışında kendi kendine redaksiyona tabi tutuyor ve bunu, günlükleri yakalayan veya çöken eserlere sahip olan herkesten reddediyor" diye ekledi.

Bunun da ötesinde, kötü amaçlı yazılım, bir güvenlik aracısını analizi iptal etmesi, kesmesi veya reddetmesi için kandırmak üzere tasarlanmış 38 adet uydurma "sistem" mesajı içeren Markdown çitli bir blok ekleyerek yapay zeka tabanlı tespitten kaçmaya çalışır.

SentinelOne, "İskele, jeton süresinin dolması, hafızanın yetersiz kalması, disk tükenmesi ve tekrarlanan operasyon hataları hakkında sahte sistem mesajları içeriyor. Ayrıca enjeksiyon açıkları ve statik analiz bayrakları hakkında sahte uyarılar da yerleştiriyor" dedi ve bunu "giderek tersine mühendislik döngüsüne giren LLM destekli triyaj boru hatlarını silah haline getirme girişimi" olarak nitelendirdi.

Paylaş: