کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی بدافزار جدیدی با نام Gaslight برای سیستمعامل macOS خبر دادهاند که علاوه بر سرقت اطلاعات، با استفاده از تکنیک «تزریق پرامپت» تلاش میکند ابزارهای تحلیل بدافزار مبتنی بر هوش مصنوعی را گمراه کند.
به گزارش کمیته رکن چهارم، شرکت SentinelOne اعلام کرد این بدافزار که با زبان Rust توسعه یافته، با اطمینان بالا به یک گروه وابسته به کره شمالی نسبت داده میشود. به گفته پژوهشگران، مهمترین ویژگی Gaslight استفاده از پیامهای جعلی سیستمی است که با هدف متوقف کردن یا منحرف کردن فرایند تحلیل خودکار توسط مدلهای زبانی بزرگ (LLM) طراحی شدهاند.
بررسیها نشان میدهد این بدافزار از Telegram Bot API بهعنوان زیرساخت فرماندهی و کنترل استفاده میکند و پس از دریافت دستورات، قادر به اجرای فرمانهای پوسته، بارگذاری و دانلود فایل، خاتمه دادن به پردازشها و ارسال اطلاعات سرقتشده به مهاجمان است.
Gaslight برای حفظ ماندگاری روی سیستم، یک LaunchAgent با نامی مشابه مؤلفههای قانونی macOS ایجاد میکند و با اجرای یک اسکریپت پایتون، اطلاعاتی مانند تاریخچه ترمینال، برنامههای نصبشده، پردازشهای فعال، دادههای Keychain و اطلاعات مرورگرهای Chrome، Brave، Firefox و Safari را جمعآوری کرده و پس از فشردهسازی از طریق تلگرام ارسال میکند.
پژوهشگران همچنین اعلام کردند که اطلاعات حساس مربوط به زیرساخت مهاجم، از جمله توکن ربات تلگرام، بهصورت ثابت در بدافزار ذخیره نشده و هنگام اجرا به آن تزریق میشود؛ اقدامی که شناسایی زیرساخت مهاجم را دشوارتر میکند.
مهمترین بخش این بدافزار، استفاده از یک بلوک شامل دهها پیام جعلی درباره خطاهای سیستمی، کمبود حافظه، پایان اعتبار توکن و هشدارهای ساختگی است. این پیامها با هدف فریب سامانههای تحلیل مبتنی بر هوش مصنوعی طراحی شدهاند تا از ادامه بررسی نمونه بدافزار خودداری کنند یا نتایج نادرستی ارائه دهند.
منبع: The Hacker News
