Malware MacOS Gaslight Baru Menggunakan Injeksi Cepat untuk Mengganggu Analisis Berbantuan AI

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Implan macOS berbasis Rust dan pencuri informasi yang sebelumnya tidak terdokumentasi ditemukan menyematkan muatan injeksi cepat yang dirancang untuk mengelabui alat kecerdasan…

Implan macOS berbasis Rust dan pencuri informasi yang sebelumnya tidak terdokumentasi ditemukan menyematkan muatan injeksi cepat yang dirancang untuk mengelabui alat kecerdasan buatan (AI) milik analis malware dan mengelabuinya agar membatalkan atau menolak analisis artefak tersebut.

Malware tersebut diberi nama kode Gaslight karena perilaku menipu ini. Telah dinilai dengan keyakinan tinggi bahwa alat tersebut adalah karya aktor ancaman yang berpihak pada Korea Utara.

Juga tertanam di dalam malware tersebut adalah skrip Python berkode Base64 6, 6 KB yang berfungsi sebagai rangkaian pengumpulan informasi yang bertanggung jawab untuk mengumpulkan riwayat perintah Terminal, daftar aplikasi yang diinstal, cuplikan proses yang berjalan, profil perangkat keras dan perangkat lunak sistem, database Rantai Kunci macOS, dan data dari browser web Chrome, Brave, Firefox, dan Safari. Data yang dikumpulkan kemudian dikompresi menjadi arsip ZIP ("temp/collected_data. zip") dan diunggah melalui Telegram.

Hal yang penting tentang Gaslight adalah detail yang terkait dengan token bot, ID obrolan (tg_room_id), dan konfigurasi operator lainnya tidak dikodekan secara permanen ke dalam sampel, melainkan diberikan saat runtime. “Implan tersebut melakukan penyuntingan sendiri terhadap token bot Telegram-nya dalam keluaran runtime-nya sendiri, sehingga tidak dapat diakses oleh siapa pun yang menangkap log atau membuat artefak rusak,” tambah Stokes.

Selain itu, malware tersebut berupaya menghindari deteksi berbasis AI dengan memasukkan blok berpagar Markdown yang berisi 38 pesan "sistem" buatan yang dirancang untuk mengelabui agen keamanan agar membatalkan, memotong, atau menolak analisis.

“Perancah tersebut berisi pesan-pesan sistem palsu tentang masa berlaku token, kehabisan memori, habisnya disk, dan kegagalan operasi yang berulang. Ini juga memberikan peringatan palsu tentang kerentanan injeksi dan tanda-tanda analisis statis,” kata SentinelOne, menyebutnya sebagai “upaya untuk mempersenjatai jaringan pipa triase berbantuan LLM yang semakin banyak berada dalam lingkaran rekayasa balik.”

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com