Специалисты компании SentinelOne обнаружили ранее неизвестную малварь Gaslight для macOS, которая совмещает функции бэкдора и инфостилера. Главная особенность вредоноса — встроенный промпт-инжект, нацеленный на ИИ-инструменты, которые исследователи используют для анализа подозрительных файлов.

Gaslight написан на Rust, и в его бинарник встроен блок объемом около 3,5 Кбайт, содержащий 38 поддельных «системных» сообщений. Все они оформлены с использованием Markdown-разметки и маскируются под отчеты о сбоях, диагностические данные и предупреждения приложений. Среди ложных сообщений встречаются уведомления об истечении срока действия токенов, нехватке памяти и места на диске, сбоях Redis, ошибках сборки, проблемах с JSON и якобы обнаруженных SQL-инъекциях.

По данным исследователей, расчет сделан на то, что LLM, участвующая в автоматическом анализе малвари, примет эти строки за инструкции или системные сообщения. В результате ИИ может счесть данные анализа некорректными, прервать обработку файла, сократить ответ или вовсе отказаться продолжать исследование.

При этом аналитики пишут, что не нашли доказательств того, что такие промпт-инжекты могут обмануть реальные ИИ-решения для анализа малвари. Однако Gaslight демонстрирует, что атакующие уже экспериментируют с отдельным классом техник, направленных против LLM, которые все чаще встраивают в процессы реверса и автоматического анализа угроз.

Для управления вредоносом используется API Telegram-бота. Так, малварь постоянно опрашивает управляющий канал и предоставляет своим операторам интерактивный шелл, позволяя выполнять команды в системе, завершать процессы, похищать файлы и завершать работу. Кроме того, исследователи обнаружили признаки некой команды focus, но ее назначение пока неизвестно.

Для закрепления в системе Gaslight создает LaunchAgent с идентификатором com.apple.system.services.activity. За сбор и кражу данных отвечает Python-скрипт размером 6,6 Кбайт, закодированный в Base64. Стилер устанавливается отдельными bash-скриптом размером около 2 Кбайт, который загружает интерпретатор CPython 3.10.18 из проекта astral-sh/python-build-standalone. Обилие комментариев и эмодзи в коде указывает на то, что установщик, вероятно, сгенерировали с помощью LLM.

Скрипт-стилер похищает историю команд терминала, базу Keychain, данные из браузеров Chrome, Brave, Firefox и Safari, а также собирает список установленных приложений и запущенных процессов, информацию о железе и системе. Затем скрипт упаковывает собранные данные в архив temp/collected_data.zip и отправляет архив в Telegram.