Forskere har oppdaget Gaslight, en ny skadevare for macOS som retter seg mot KI-baserte verktøy for analyse av skadevare i stedet for tradisjonelle sikkerhetsløsninger. Skadevaren skjuler falske feilmeldinger og innhold for prompt injection i koden for å forvirre automatiserte analysesystemer og forstyrre sikkerhetsundersøkelser.

Oppdagelsen viser at cyberkriminelle har begynt å tilpasse skadevaren sin for å utnytte den økende bruken av kunstig intelligens innen cybersikkerhet.

Gaslight retter seg mot KI-basert analyse

Forskerne knytter Gaslight til en nordkoreansk trusselaktør med høy grad av sikkerhet. I motsetning til mange avanserte skadevarefamilier benytter ikke Gaslight nye unnvikelsesteknikker eller avanserte sårbarheter.

I stedet retter angriperne seg mot selve analyseprosessen. Målet er å manipulere KI-assistentene som sikkerhetsforskere bruker under analyser av skadevare.

Utviklerne har skrevet skadevaren i programmeringsspråket Rust og utstyrt den med funksjoner for bakdørstilgang og informasjonsstjeling. Disse funksjonene ligner på tidligere skadevare som er knyttet til den samme trusselgruppen.

Falske systemmeldinger villeder KI-modeller

Det som gjør Gaslight spesiell, er en innebygd nyttelast på 3,5 kB som inneholder 38 falske systemmeldinger.

Skadevaren legger inn oppdiktede utviklerlogger, feilsøkingsutskrifter, krasjrapporter og programvarsler direkte i den kjørbare filen. Mange av meldingene bruker Markdown-formatering og malbaserte plassholdere for å fremstå som ekte.

Forskerne fant blant annet falske minnedumper, meldinger om utløpte autentiseringstokener, Redis-feil, SQL-injeksjonsvarsler, JSON-feil, byggfeil og andre meldinger som ikke har noen sammenheng med skadevarens faktiske oppførsel.

Angriperne har laget disse meldingene for å påvirke KI-modeller som analyserer skadevare automatisk.

Prompt injection blir et nytt verktøy mot analyse

Forskerne mener skadevaren bruker prompt injection for å manipulere store språkmodeller, fremfor å forsøke å omgå sandkasser eller tradisjonelle sikkerhetsløsninger.

De innebygde meldingene gir inntrykk av at KI-økten har mislyktes eller produsert upålitelige resultater. Enkelte advarsler hevder at autentiseringstokener har utløpt, mens andre rapporterer om minnemangel, diskfeil eller gjentatte behandlingsfeil.

Ved å presentere falsk diagnostisk informasjon håper angriperne at KI-assistenten skal avbryte analysen, forkorte rapporten eller nekte å fortsette.

Forskerne ga skadevaren navnet Gaslight fordi den forsøker å få KI-systemer til å tvile på sine egne konklusjoner i stedet for å skjule den skadelige koden.

En ny utfordring for KI-basert cybersikkerhet

Tradisjonell skadevare forsøker ofte å omgå antivirusprogrammer eller unnslippe virtuelle miljøer. Gaslight velger en annen strategi ved å angripe KI-støttede analyseprosesser.

Forskerne har ikke bekreftet at teknikken allerede kan omgå dagens KI-baserte plattformer for analyse av skadevare. De mener likevel at kampanjen viser en økende interesse for metoder som er spesialutviklet for å motarbeide KI-basert analyse.

Etter hvert som flere sikkerhetsteam tar i bruk store språkmodeller i arbeidet med skadevareanalyse, vil angripere sannsynligvis fortsette å utvikle teknikker som manipulerer automatiserte analyser i stedet for tradisjonelle deteksjonssystemer.

Fremveksten av Gaslight markerer en ny fase i kampen mellom cyberkriminelle og forsvarere, der kunstig intelligens har blitt et nytt mål for angripere – ikke bare et verktøy for cybersikkerhet.


0 responses to “Gaslight-skadevare retter seg mot KI-basert analyse på macOS”