Apple-laitteiden hallintaan ja kyberturvallisuuteen erikoistunut Mosyle on tuonut esiin aiemmin tuntemattoman macOS-haittaohjelmakampanjan, jossa on hyödynnetty ainakin ensimmäisten joukossa generatiivista tekoälyä.
Mosyle kertoi havainnoistaan 9to5Mac-sivustolle.
Uusi haittaohjelma, joka tunnetaan nimellä SimpleStealth, on tiettävästi ensimmäinen havaittu Mac-haittaohjelma, jonka koodissa on selviä viittauksia tekoälymallien käyttöön.
Mosylen kyberturvatiimin mukaan mikään merkittävä virustorjuntaohjelmisto ei tunnistanut haittaohjelmaa sen löytymishetkellä.
SimpleStealth-niminen haittaohjelma leviää uskottavan näköiseltä verkkosivustolta, joka esittäytyy Elon Muskin xAI:n Grok-tekoälysovelluksen virallisena lataussivuna. Hyökkääjät ovat hyödyntäneet oikeaa sivustoa muistuttavaa verkkotunnusta huijatakseen käyttäjiä lataamaan haitallisen macOS-asentajan.
Asennuksen jälkeen käyttäjälle avautuu aidon näköinen ja toimiva sovellus, joka vastaa ulkoasultaan ja toiminnaltaan oikeaa Grokia. Taustalla kuitenkin käynnistyy haitallinen toiminta.
Ensimmäisellä käynnistyskerralla sovellus pyytää käyttäjää syöttämään järjestelmänvalvojan salasanan näennäisesti tavanomaisen käyttöönoton yhteydessä. Tämä mahdollistaa haittaohjelman ohittaa Applen macOS-turvamekanismeja ja poistaa järjestelmän suojauksen.
Taustalla SimpleStealth asentaa Monero-kryptovaluuttaa (XMR) louhivan kryptolouhijan, joka aktivoituu vain, kun Mac on ollut käyttämättömänä vähintään minuutin. Heti, kun käyttäjä liikuttaa hiirtä tai kirjoittaa näppäimistöllä, louhinta keskeytyy. Lisäksi haittaohjelma naamioituu macOS:n normaaleiksi järjestelmäprosesseiksi, kuten kernel_task ja launchd, mikä vaikeuttaa sen havaitsemista.
Paljastuneiden tietojen perusteella haittaohjelman lähdekoodi sisältää poikkeuksellisen pitkiä kommentteja, toisteista logiikkaa sekä englannin ja brasilianportugalin sekoitusta. Nämä piirteet ovat tyypillisiä tekoälyn tuottamalle koodille ja vahvistavat epäilyjä tekoälyn hyödyntämisestä haittaohjelman kehityksessä.
Samalla tavoin kuin tekoäly helpottaa yleisesti ohjelmistokehitystä, se myös madaltaa merkittävästi hyökkääjien kynnystä kehittää toimivia haittaohjelmia. Käytännössä kuka tahansa voi nyt luoda monimutkaisia ja vaikeasti havaittavia uhkia ilman syvällistä ohjelmointiosaamista.
Uusilta uhilta suojautumiseen tepsivät vanhat ohjeet. Ylimääräisiä sovelluksia ei kannata asentaa, ja sovelluksia on suositeltavaa ladata vain suoraan merkittävimmistä sovelluskaupoista tai sovellusten omilta verkkosivuilta. Viimeksi mainitun osalta on hyvä tuplavarmistaa, että kyseessä on aito sovelluksen sivu.
