知名的 Apple 設備管理和安全公司 Mosyle 最近向 9to5Mac 獨家披露了一個全新的 macOS 惡意軟件活動的細節。雖然 macOS 上的加密貨幣挖礦工具並不新鮮,但這次的發現似乎是首個在野外被發現的包含生成式 AI 模型代碼的 Mac 惡意軟件樣本,這也正式確認了早已預見的趨勢。當 Mosyle 的安全研究團隊發現這一威脅時,所有主要的防病毒引擎均未能檢測到。
這一情況發生在 Moonlock Lab 提醒大家有關暗網論壇上關於大型語言模型被用來撰寫針對 macOS 的惡意軟件的討論後,已經接近一年。Mosyle 將這一活動命名為 SimpleStealth,並通過一個偽裝成流行 AI 應用 Grok 的騙子網站進行傳播。威脅行為者利用類似的域名來欺騙用戶下載惡意的 macOS 安裝程序。
被害者在啟動該程序後,會看到一個看似完整功能的 Grok 應用,該應用的外觀和行為與真實應用相似。這是一種常見的技術,旨在讓該應用在前台運行,而惡意活動則在背景靜默進行,這樣可以讓惡意軟件更長時間地運行而不被察覺。
根據 Mosyle 的說法,SimpleStealth 設計用來在第一次執行時繞過 macOS 的安全防護。該應用會以完成簡單設置任務的名義請求用戶輸入系統密碼,這使得惡意軟件能夠移除 Apple 的隔離保護並準備其真正的有效載荷。從用戶的角度來看,一切似乎正常,應用仍然顯示著與真正 Grok 應用相符的 AI 相關內容。
不過,在幕後,這款惡意軟件悄然部署了隱蔽的 Monero (XMR) 加密貨幣挖礦工具,並在其網站上宣稱具有快速付費、保密和無法追蹤的特點。為了保持隱蔽,挖礦活動僅在 Mac 空閒至少一分鐘後啟動,並在用戶移動鼠標或輸入時立即停止。這款挖礦工具進一步偽裝自己,模仿常見的系統進程,如 kernel_task 和 launchd,使得用戶更難察覺異常行為。
根據 9to5Mac 獲得的證據,這款惡意軟件的代碼中遍布 AI 的使用,特別是包含異常冗長的註釋、英語與巴西葡萄牙語的混合,及重複的邏輯模式,這些特徵均是 AI 生成腳本的特點。這一情況令人擔憂,因為 AI 降低了攻擊者的入門門檻,速度遠超過對惡意軟件即服務的擔憂。
現在,幾乎任何擁有網絡連接的人都能夠製作像 SimpleStealth 這樣的樣本,顯著加快了新威脅的創建和部署速度。保持安全的最佳方法是避免從第三方網站下載任何內容。應用程序應直接從 Mac App Store 或受信任的開發者網站上獲取。
以下是 SimpleStealth 樣本的妥協指標 (IoCs),供個人研究或用於提高組織內的檢測能力。訪問任何可觀察到的域名時需謹慎。
| 惡意軟件家族 | 分發名稱 | 目標平台 | 觀察到的域名 | 錢包地址 | SHA-256 哈希 |
|---|---|---|---|---|---|
| SimpleStealth | Grok.dmg | macOS | xaillc[.]com | 4AcczC58XW7BvJoDq8NCG1esaMJMWjA1S2eAcg1moJvmPWhU1PQ6ZYWbPk3iMsZSqigqVNQ3cWR8MQ43xwfV2gwFA6GofS3 | 553ee94cf9a0acbe806580baaeaf9dea3be18365aa03775d1e263484a03f7b3e (Grok.dmg) e379ee007fc77296c9ad75769fd01ca77b1a5026b82400dbe7bfc8469b42d9c5 (Grok wrapper) 2adac881218faa21638b9d5ccc05e41c0c8f2635149c90a0e7c5650a4242260b (grok_main.py) 688ad7cc98cf6e4896b3e8f21794e33ee3e2077c4185bb86fcd48b63ec39771e (idle_monitor.py) 7813a8865cf09d34408d2d8c58452dbf4f550476c6051d3e85d516e507510aa0 (working_stealth_miner.py) |
