Fałszywa aplikacja AI atakuje komputery Mac

Posiadacze komputerów Mac znaleźli się na celowniku cyberprzestępców. Odkryto nową kampanię wymierzoną w użytkowników urządzeń Apple, która polega na rozprzestrzenianiu fałszywej aplikacji AI, która w rzeczywistości jest malware. Co ciekawe ów program został częściowo napisany z wykorzystaniem sztucznej inteligencji.

Fałszywa aplikacja podszywa się pod Groka, chatbota stworzonego przez firmę Elona Muska, który wzbudza kontrowersje ze względu na obrażanie polityków czy „rozbieranie” znanych osób i generowanie zdjęć z ich udziałem.

Atak polega na wykorzystaniu strony internetowej podszywającej się pod Groka, która używa domeny na pierwszy rzut oka przypominającej tą oryginalną. Użytkownicy są zachęcani do pobrania pliku instalacyjnego Grok.dmg, który zawiera złośliwe oprogramowanie.

Fałszywa aplikacja Grok jako źródło infekcji

Fałszywa aplikacja zachowuje się podobnie do oryginalnego programu, jednak w tle uruchamia ukryte procesy. Podczas instalacji prosi użytkownika o podanie hasła systemowego, co pozwala jej ominąć mechanizmy ochronne macOS i zainstalować dodatkowe pliki bez wiedzy użytkownika. W momencie wykrycia zagrożenia malware nie było rozpoznawane przez wiele popularnych programów antywirusowych.

Jak działa malware SimpleStealth

Złośliwe oprogramowanie o nazwie SimpleStealth, po instalacji uruchamia Monero, narzędzie do kopania kryptowaluty. Proces ten został zaprojektowany tak, aby działał tylko wtedy, gdy użytkownik nie korzysta z komputera przez co najmniej minutę. Gdy aktywność wraca, kopanie zostaje wstrzymane w związku z tym trudno wykryć obciążenie urządzenia tym procesem.

Atak polega na wykorzystaniu strony internetowej podszywającej się pod Groka, która używa domeny na pierwszy rzut oka przypominającej tą oryginalną. Użytkownicy są zachęcani do pobrania pliku instalacyjnego Grok.dmg, który zawiera złośliwe oprogramowanie.

Dodatkowo koparka podszywa się pod typowe procesy systemowe macOS, takie jak kernel_task czy launchd, przez co jest trudniejsza do wykrycia za pomocą podstawowych narzędzi monitorujących.

Ślady użycia generatywnej AI w kodzie

Według Mosyle w kodzie SimpleStealth widoczne są ślady wykorzystania generatywnej sztucznej inteligencji. Zwracają uwagę powtarzalna logika, bardzo rozbudowane komentarze oraz mieszanie języka angielskiego z brazylijskim portugalskim. Wskazuje to, że do tworzenia malware mogły zostać użyte modele językowe.

Zalecenia dotyczące bezpieczeństwa

Aby zmniejszyć ryzyko infekcji, zaleca się, by nie pobierać aplikacji z nieoficjalnych stron i korzystać wyłącznie zApp Store lub witryn sprawdzonych deweloperów. Warto też zachować szczególną ostrożność, gdy aplikacja podczas instalacji żąda hasła systemowego, zwłaszcza jeśli nie jest to związane z jej podstawową funkcją.
macOS oferuje wbudowane mechanizmy ochrony, jednak nie gwarantują one pełnego bezpieczeństwa w przypadku instalowania oprogramowania z niepewnych źródeł.