Új macOS-kártevő próbálja megtéveszteni az MI-alapú malware-elemző rendszereket

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

Egy újonnan azonosított, „Gaslight” névre keresztelt macOS-kártevőt kifejezetten úgy terveztek, hogy megtévessze a mesterséges intelligenciával támogatott malware-elemző eszközöket. Ezt úgy éri el, hogy prompt injection karakterláncokat és hamis hibakeresési (debug) adatokat rejt el a futtatható állományban.

A kiberbiztonsági kutatók egyre gyakrabban alkalmaznak MI-alapú megoldásokat a rosszindulatú programok elemzésére és visszafejtésére. A Gaslight ezt a folyamatot igyekszik megzavarni: olyan karakterláncokat tartalmaz, amelyek azt a látszatot keltik az MI-vezérelt elemzőrendszerekben, hogy az elemzés során valamilyen hiba vagy rendellenesség történt. Ennek következtében az automatizált elemzés megszakadhat, hiányos lehet, vagy egyéb módon torzulhat.

A SentinelOne kutatói nagy bizonyossággal egy Észak-Koreához köthető APT-csoportnak tulajdonítják a kártevőt.

Maga a malware egy Rust nyelven írt bináris, amely hátsó ajtó (backdoor) funkciókkal és adatlopási képességekkel rendelkezik, hasonlóan számos más ismert kártevőhöz. Ami azonban igazán kiemeli a többi közül, az egy 3,5 KB méretű beágyazott adatrész, amely 38 hamis „system” üzenetet tartalmaz közvetlenül a bináris állományban.

Ezek a megtévesztő üzenetek fejlesztői naplóknak, összeomlási jelentéseknek, hibakeresési kimeneteknek és rendszerfigyelmeztetéseknek álcázzák magukat. A Markdown-formázás alkalmazásával hiteles elemzési adatok benyomását keltik.

A hamis bejegyzések között szerepelnek kitalált memóriadumpok, tokenlejáratra figyelmeztető üzenetek, Redis-kapcsolódási hibák, build pipeline hibák, SQL injection riasztások, valamint számos egyéb olyan hibaüzenet, amelyek valójában semmilyen kapcsolatban nem állnak a kártevő tényleges működésével.

A SentinelOne megfogalmazása szerint a kártevő legérdekesebb jellemzője ez a beágyazott, egymásra épülő hamis rendszerhiba-üzenetsorozat, amelynek célja, hogy az LLM-alapú elemzőügynök megkérdőjelezze saját elemzési munkamenetének hitelességét. A támadás tehát nem a sandbox környezet ellen irányul, hanem közvetlenül az MI-rendszer „észlelését” próbálja manipulálni. Erre utal a malware család neve is: macOS.Gaslight.

Bár a SentinelOne nem igazolta, hogy ez a technika jelenleg képes lenne sikeresen megkerülni az MI-alapú malware-elemző platformokat, a kutatás egyértelműen arra utal, hogy a fenyegető szereplők már aktívan kísérleteznek olyan elemzésellenes technikákkal, amelyeket kifejezetten a mesterséges intelligenciával támogatott biztonsági megoldások kijátszására fejlesztenek.

Hozzászólások

A szerzői jogi törvény

Értékelés: 

0
Még nincs értékelve

A szerzői jogi törvény (Magyarországon: 1999. évi LXXVI. törvény) előírja:

  • a forrás és a szerző feltüntetését,

  • a felhasználás módjának egyértelmű jelzését,

  • és azt, hogy a hivatkozásnak közvetlenül a felhasznált részhez kell kapcsolódnia.

A kapcsolat/impresszum oldal nem minősül ilyen kapcsolódásnak.

kami911 képe

A szerzői jogi törvény

Értékelés: 

5
Átlag: 5 (1 szavazat)

#3 jelenleg nem tudom most megoldani.