Компанія Mosyle, відома рішеннями з управління та безпеки пристроїв Apple, повідомила про виявлення раніше невідомої кампанії з поширення шкідливого програмного забезпечення для macOS. За даними дослідників, це може бути один із перших зафіксованих у «дикій» природі зразків malware для Mac, у коді якого простежуються характерні ознаки використання генеративного штучного інтелекту.
Хоча шкідливе програмне забезпечення для майнінгу криптовалют на macOS не є новим явищем, саме спосіб створення цього зразка вирізняє його на тлі попередніх загроз. Mosyle ексклюзивно поділилася деталями інциденту з виданням 9to5Mac, фактично підтвердивши те, про що фахівці з кібербезпеки попереджали протягом останніх років: генеративні моделі ШІ починають активно використовуватися для розробки шкідливого коду.
На момент виявлення кампанії, за словами команди Mosyle, загроза не розпізнавалася жодним із провідних антивірусних рушіїв. Це особливо показово, зважаючи на те, що ще майже рік тому дослідницький підрозділ Moonlock Lab повідомляв про обговорення на форумах даркнету, де зловмисники ділилися досвідом використання великих мовних моделей для створення malware, орієнтованого саме на macOS.
Кампанію, яку в Mosyle отримала назву SimpleStealth, поширюють через фальшивий веб-сайт, що маскується під популярний застосунок штучного інтелекту Grok. Зловмисники використовують домен, візуально схожий на легітимний, щоб ввести користувачів в оману та змусити їх завантажити шкідливий інсталятор для macOS. Після запуску жертві демонструється на вигляд повнофункціональний застосунок Grok, який поводиться майже ідентично до справжнього.
Такий підхід є типовою технікою маскування: легітимний на вигляд інтерфейс залишається на передньому плані, тоді як основна шкідлива активність відбувається у фоновому режимі. Це дозволяє malware працювати тривалий час, не викликаючи підозр у користувача та не привертаючи зайвої уваги.
За інформацією Mosyle, SimpleStealth спроєктований таким чином, щоб обійти вбудовані механізми захисту macOS вже під час першого запуску. Застосунок запитує у користувача системний пароль, маскуючи цей запит під стандартну процедуру початкового налаштування. Отримавши пароль, шкідливе програмне забезпечення знімає карантинні обмеження, накладені системою, і готує до запуску своє реальне навантаження.
З точки зору користувача при цьому нічого підозрілого не відбувається: застосунок продовжує відображати звичний контент, пов’язаний зі штучним інтелектом, і зовні не відрізняється від легітимної програми. Саме ця ілюзія нормальної роботи дозволяє шкідливому ПЗ залишатися непоміченим.
У фоновому режимі SimpleStealth запускає прихований криптомайнер Monero (XMR). На пов’язаних ресурсах зловмисники відкрито рекламують «швидкі виплати», а також «конфіденційність і неможливість відстеження» цієї криптовалюти. Щоб мінімізувати ризик викриття, майнінг активується лише тоді, коли Mac перебуває в режимі простою щонайменше одну хвилину, і миттєво припиняється при будь-якій активності користувача — русі миші або введенні з клавіатури.
Крім того, майнер додатково маскується під системні процеси, зокрема імітує такі служби, як kernel_task або launchd. Це значно ускладнює виявлення аномальної поведінки навіть для досвідчених користувачів, які намагаються аналізувати навантаження системи вручну.
Згідно з матеріалами, які вдалося проаналізувати 9to5Mac, використання штучного інтелекту простежується безпосередньо в коді шкідливого програмного забезпечення. Серед характерних ознак — надзвичайно довгі коментарі, змішування англійської та португальської мов, а також повторювані логічні конструкції, типові для коду, згенерованого або суттєво допрацьованого за допомогою ШІ.
Загалом ситуація викликає занепокоєння з кількох причин. Насамперед тому, що генеративний штучний інтелект суттєво знижує поріг входу для зловмисників. Якщо раніше створення складного шкідливого ПЗ вимагало глибоких технічних знань, то тепер подібні інструменти дозволяють значно прискорити розробку та масштабування атак. Це робить поширення нових загроз швидшим і масовішим, ніж будь-коли раніше, навіть у порівнянні з моделлю «шкідливе ПЗ як сервіс».
Найефективнішим способом захисту залишається дотримання базової цифрової гігієни. Користувачам macOS рекомендується уникати завантаження програм зі сторонніх ресурсів, особливо якщо йдеться про популярні застосунки або сервіси. Завантажувати програмне забезпечення слід виключно з Mac App Store або з офіційних веб-сайтів розробників, яким ви довіряєте.
