Uuden macOS-haittaohjelman kehityksessä hyödynnetty generatiivista tekoälyä - esiintyy suosittuna tekoälysovelluksena

Julkaistu

Apple-laitteiden hallintaan ja tietoturvaan erikoistunut Mosyle on paljastanut aiemmin tuntemattoman macOS-haittaohjelmakampanjan, jossa on hyödynnetty ainakin ensimmäisten joukossa generatiivista tekoälyä.

Mosyle kertoi löydöksistään 9to5Mac-sivustolle.

Uusi haittaohjelma, jolle on annettu nimeksi SimpleStealth, on tiettävästi ensimmäinen havaittu Mac-haittaohjelma, jonka koodissa on selviä merkkejä tekoälymallien käytöstä.

Mosylen tietoturvatiimin mukaan mikään merkittävä virustorjuntaohjelmisto ei tunnistanut löytämishetkellä haittaohjelmaa.

SimpleStealth-nimeä kantava haittaohjelma leviää uskottavan näköiseltä verkkosivustolta, joka esittäytyy Elon Muskin xAI:n Grok-tekoälysovelluksen virallisena lataussivuna. Hyökkääjät ovat käyttäneet oikeaa sivustoa muistuttavaa verkkotunnusta huijatakseen käyttäjiä lataamaan haitallisen macOS-asentajan.

Asennuksen jälkeen käyttäjälle avautuu aidon näköinen ja toimiva sovellus, joka vastaa ulkoasultaan ja toiminnaltaan oikeaa Grokia. Samalla taustalla käynnistyy kuitenkin haitallinen toiminta.

Ensimmäisellä käynnistyskerralla sovellus pyytää käyttäjää syöttämään järjestelmänvalvojan salasanan näennäisesti tavanomaisen käyttöönoton yhteydessä. Tämän avulla haittaohjelma ohittaa Applen macOS-turvamekanismeja ja poistaa järjestelmän suojauken.

Taustalla SimpleStealth asentaa Monero-kryptovaluuttaa (XMR) louhivan kryptolouhijan, joka käynnistyy vain silloin, kun Mac on ollut käyttämättömänä vähintään minuutin. Heti, kun käyttäjä liikuttaa hiirtä tai kirjoittaa näppäimistöllä, louhinta keskeytyy. Lisäksi haittaohjelma naamioituu macOS:n normaaleiksi järjestelmäprosesseiksi, kuten kernel_task ja launchd, mikä vaikeuttaa sen havaitsemista.

Paljastuneiden tietojen perusteella haittaohjelman lähdekoodi sisältää poikkeuksellisen pitkiä kommentteja, toisteista logiikkaa sekä englannin ja brasilianportugalin sekoitusta. Nämä piirteet ovat tyypillisiä tekoälyn tuottamalle koodille ja vahvistavat epäilyjä tekoälyn hyödyntämisestä haittaohjelman kehitystyössä.

Samalla tavoin kuin tekoäly helpottaa yleisesti ohjelmistokehitystä, madaltaa se myös merkittävästi hyökkääjien kynnystä kehittää toimivia haittaohjelmia. Käytännössä kuka tahansa voi nyt luoda monimutkaisia ja vaikeasti havaittavia uhkia ilman syvällistä ohjelmointiosaamista.

Uusiltakin uhilta suojautumiseen tepsivät vanhat ohjeet. Ylimääräisiä sovelluksia ei kannata asentaa, ja sovelluksia on hyvä ladata vain suoraan merkittävimmistä sovelluskaupoista tai tietokoneisiin sovellusten omilta sivuilta. Viimeksi mainitun osalta kannattaa tuplavarmistaa, että kyseessä on aito sovelluksen sivu.