mosaicoUna popular empresa de seguridad y administración de dispositivos Apple, compartió detalles exclusivamente con 9 a 5 Mac En una campaña de malware para macOS previamente desconocida. Si bien los criptomineros no son nada nuevo en macOS, el descubrimiento parece ser la primera muestra de malware para Mac descubierta en la naturaleza que contiene código para modelos generativos de IA, lo que confirma oficialmente lo que era inevitable.
En el momento del descubrimiento, el equipo de investigación de seguridad de Mosyle dijo que la amenaza no fue detectada por todos los principales motores antivirus. Viene aproximadamente un año después. Laboratorio Moonlock advirtió Las conversaciones en los foros de la web oscura apuntan al modelo de lenguaje grande que se utiliza para escribir malware dirigido a macOS.
La campaña, que Mosyle llama SimpleStealth, se está difundiendo a través de un sitio web falso y creíble que se hace pasar por la popular aplicación de inteligencia artificial Grok. Los actores de amenazas están utilizando un dominio similar para engañar a los usuarios para que descarguen un instalador malicioso de macOS. Cuando se inicia, las víctimas encuentran una aplicación Grok completamente funcional que se ve y se comporta como si fuera real. Esta es una técnica común utilizada para poner la aplicación al frente y al centro mientras la actividad maliciosa se ejecuta silenciosamente en segundo plano, lo que permite que el malware funcione durante largos períodos de tiempo sin ser detectado.
Según Mosyle, SimpleStealth está diseñado para eludir las protecciones de seguridad de macOS durante su primera ejecución. La aplicación solicita al usuario la contraseña del sistema con el pretexto de completar una tarea de configuración simple. Esto permite que el malware eluda las protecciones de cuarentena de Apple y prepare su verdadera carga útil. Desde la perspectiva del usuario, todo parece normal ya que la aplicación continúa mostrando el contenido familiar relacionado con la IA que mostraría la aplicación Grok original.
Sin embargo, detrás de escena, el malware implementa un criptominero sigiloso Monero (XMR) que cuenta con “pagos rápidos” y es “confidencial e imposible de rastrear” en su sitio web. Para ser sigiloso, la actividad minera solo comienza cuando la Mac está inactiva durante al menos un minuto y se detiene inmediatamente cuando el usuario mueve el mouse o escribe. La mina se disfraza imitando procesos más generales del sistema. kernel_task Y launchdHace que sea más difícil detectar comportamientos inusuales del usuario.
Evidencia vista por 9 a 5 MacEl uso de IA se encuentra en todo el código del malware, que incluye comentarios inusualmente largos, una mezcla de inglés y portugués brasileño y patrones lógicos repetitivos que son típicos de los scripts generados por IA.
En general, esta situación es preocupante por varios motivos. Principalmente porque la IA está reduciendo la barrera de entrada para los atacantes más rápido que las preocupaciones sobre el “malware como servicio”. Prácticamente cualquier persona con acceso a Internet ahora puede crear muestras como SimpleStealth, lo que acelera significativamente la velocidad a la que se pueden crear e implementar nuevas amenazas.
La mejor manera de mantenerse seguro es evitar descargar nada de sitios de terceros. Obtenga siempre sus aplicaciones directamente desde Mac App Store o desde los sitios web de sus desarrolladores de confianza.
FOlvídate de: Twitter/x, LinkedIn, hilo
Índice de acuerdo
A continuación puede encontrar ejemplos de indicadores de compromiso (IoC) de SimpleStealth para su propia investigación o para mejorar la detección en su organización. Tenga cuidado al visitar cualquier dominio monitoreado.
Familia de malware: sigilo simple
Nombre de distribución: Grok.dmg
Plataforma de destino: macos
Dominios monitoreados: xaillc(.)com
Dirección de billetera: 4AcczC58XW7BvJoDq8NCG1esaMJMWjA1S2eAcg1moJvmPWhU1PQ6ZYWbPk3iMsZSqigqVNQ3cWR8MQ43xwfV2gwFA6GofS3
Hash SHA-256:
- 553ee94cf9a0acbe806580baaeaf9dea3be18365aa03775d1e263484a03f7b3e (Grok.dmg)
- e379ee007fc77296c9ad75769fd01ca77b1a5026b82400dbe7bfc8469b42d9c5 (envoltorio Grok)
- 2adac881218faa21638b9d5ccc05e41c0c8f2635149c90a0e7c5650a4242260b (grok_main.py)
- 688ad7cc98cf6e4896b3e8f21794e33ee3e2077c4185bb86fcd48b63ec39771e (idle_monitor.py)
- 7813a8865cf09d34408d2d8c58452dbf4f550476c6051d3e85d516e507510aa0 (working_stealth_miner.py)
