Sicherheitsforscher haben Gaslight entdeckt, eine neue Malware für macOS, die es auf KI-gestützte Werkzeuge zur Malware-Analyse statt auf herkömmliche Sicherheitslösungen abgesehen hat. Die Schadsoftware versteckt gefälschte Fehlermeldungen und Prompt-Injection-Inhalte in ihrem Code, um automatisierte Analysesysteme zu verwirren und Sicherheitsuntersuchungen zu behindern.

Die Entdeckung zeigt, dass Cyberkriminelle ihre Malware zunehmend anpassen, um die wachsende Nutzung künstlicher Intelligenz im Bereich der Cybersicherheit auszunutzen.

Gaslight zielt auf KI-gestützte Analysen ab

Die Forscher ordnen Gaslight mit hoher Wahrscheinlichkeit einer nordkoreanischen Bedrohungsgruppe zu. Im Gegensatz zu vielen anderen fortschrittlichen Malware-Familien setzt Gaslight weder auf neue Umgehungstechniken noch auf ausgeklügelte Exploits.

Stattdessen konzentrieren sich die Angreifer auf den Analyseprozess selbst. Ihr Ziel ist es, KI-Assistenten zu manipulieren, die Sicherheitsforscher bei der Untersuchung von Malware einsetzen.

Die Entwickler programmierten die Malware in der Sprache Rust und statteten sie mit Funktionen für Hintertürzugriffe und den Diebstahl von Informationen aus. Diese Fähigkeiten ähneln früheren Malware-Familien, die derselben Bedrohungsgruppe zugeschrieben werden.

Gefälschte Systemmeldungen täuschen KI-Modelle

Das auffälligste Merkmal von Gaslight ist eine eingebettete 3,5-KB-Nutzlast, die 38 gefälschte Systemmeldungen enthält.

Die Malware fügt erfundene Entwicklerprotokolle, Debug-Ausgaben, Absturzberichte und Systemwarnungen direkt in die ausführbare Datei ein. Viele dieser Meldungen verwenden Markdown-Formatierungen und vorlagenähnliche Platzhalter, um möglichst authentisch zu wirken.

Die Forscher fanden unter anderem gefälschte Speicherabbilder, Hinweise auf abgelaufene Authentifizierungstoken, Redis-Verbindungsfehler, SQL-Injection-Warnungen, JSON-Parsing-Fehler, Build-Fehler und zahlreiche weitere Meldungen, die keinerlei Bezug zum tatsächlichen Verhalten der Malware haben.

Die Angreifer haben diese Inhalte gezielt erstellt, um KI-Modelle zu beeinflussen, die Malware-Proben automatisch analysieren.

Prompt Injection wird zum Werkzeug gegen Analysen

Nach Einschätzung der Forscher nutzt die Malware Prompt Injection, um große Sprachmodelle zu manipulieren, anstatt Sicherheits-Sandboxes oder klassische Schutzmechanismen zu umgehen.

Die eingebetteten Meldungen vermitteln den Eindruck, dass die KI-Sitzung fehlgeschlagen ist oder unzuverlässige Ergebnisse geliefert hat. Einige Warnungen behaupten, Authentifizierungstoken seien abgelaufen. Andere melden Speichermangel, Festplattenfehler oder wiederholte Verarbeitungsprobleme.

Durch diese gefälschten Diagnoseinformationen hoffen die Angreifer, dass der KI-Assistent die Analyse abbricht, den Bericht verkürzt oder die Untersuchung vollständig verweigert.

Die Forscher gaben der Malware den Namen Gaslight, weil sie versucht, KI-Systeme an ihren eigenen Schlussfolgerungen zweifeln zu lassen, anstatt ihr bösartiges Verhalten zu verbergen.

Eine neue Herausforderung für KI-gestützte Cybersicherheit

Herkömmliche Malware versucht häufig, Antivirenprogramme zu umgehen oder aus virtuellen Umgebungen auszubrechen. Gaslight verfolgt einen anderen Ansatz und greift stattdessen KI-gestützte Analyseprozesse an.

Die Forscher konnten nicht bestätigen, dass diese Technik bereits bestehende KI-Plattformen zur Malware-Analyse erfolgreich umgehen kann. Sie sind jedoch überzeugt, dass die Kampagne ein wachsendes Interesse an speziell gegen KI gerichteten Anti-Analyse-Techniken zeigt.

Da immer mehr Sicherheitsteams große Sprachmodelle in ihre Malware-Analysen integrieren, werden Angreifer voraussichtlich weiterhin Methoden entwickeln, die automatisierte Analysen manipulieren, anstatt klassische Erkennungssysteme zu umgehen.

Das Auftreten von Gaslight markiert eine neue Phase im Wettlauf zwischen Cyberkriminellen und Verteidigern, in der künstliche Intelligenz selbst zu einem Angriffsziel geworden ist – und nicht mehr nur ein Werkzeug der Cybersicherheit.


0 Kommentare zu „Gaslight-Malware greift KI-gestützte Analyse unter macOS an“