Forskere har oppdaget Gaslight, en ny skadevare for macOS som retter seg mot KI-baserte verktøy for analyse av skadevare i stedet for tradisjonelle sikkerhetsløsninger. Skadevaren skjuler falske feilmeldinger og innhold for prompt injection i koden for å forvirre automatiserte analysesystemer og forstyrre sikkerhetsundersøkelser.
Oppdagelsen viser at cyberkriminelle har begynt å tilpasse skadevaren sin for å utnytte den økende bruken av kunstig intelligens innen cybersikkerhet.
Gaslight retter seg mot KI-basert analyse
Forskerne knytter Gaslight til en nordkoreansk trusselaktør med høy grad av sikkerhet. I motsetning til mange avanserte skadevarefamilier benytter ikke Gaslight nye unnvikelsesteknikker eller avanserte sårbarheter.
I stedet retter angriperne seg mot selve analyseprosessen. Målet er å manipulere KI-assistentene som sikkerhetsforskere bruker under analyser av skadevare.
Utviklerne har skrevet skadevaren i programmeringsspråket Rust og utstyrt den med funksjoner for bakdørstilgang og informasjonsstjeling. Disse funksjonene ligner på tidligere skadevare som er knyttet til den samme trusselgruppen.
Falske systemmeldinger villeder KI-modeller
Det som gjør Gaslight spesiell, er en innebygd nyttelast på 3,5 kB som inneholder 38 falske systemmeldinger.
Skadevaren legger inn oppdiktede utviklerlogger, feilsøkingsutskrifter, krasjrapporter og programvarsler direkte i den kjørbare filen. Mange av meldingene bruker Markdown-formatering og malbaserte plassholdere for å fremstå som ekte.
Forskerne fant blant annet falske minnedumper, meldinger om utløpte autentiseringstokener, Redis-feil, SQL-injeksjonsvarsler, JSON-feil, byggfeil og andre meldinger som ikke har noen sammenheng med skadevarens faktiske oppførsel.
Angriperne har laget disse meldingene for å påvirke KI-modeller som analyserer skadevare automatisk.
Prompt injection blir et nytt verktøy mot analyse
Forskerne mener skadevaren bruker prompt injection for å manipulere store språkmodeller, fremfor å forsøke å omgå sandkasser eller tradisjonelle sikkerhetsløsninger.
De innebygde meldingene gir inntrykk av at KI-økten har mislyktes eller produsert upålitelige resultater. Enkelte advarsler hevder at autentiseringstokener har utløpt, mens andre rapporterer om minnemangel, diskfeil eller gjentatte behandlingsfeil.
Ved å presentere falsk diagnostisk informasjon håper angriperne at KI-assistenten skal avbryte analysen, forkorte rapporten eller nekte å fortsette.
Forskerne ga skadevaren navnet Gaslight fordi den forsøker å få KI-systemer til å tvile på sine egne konklusjoner i stedet for å skjule den skadelige koden.
En ny utfordring for KI-basert cybersikkerhet
Tradisjonell skadevare forsøker ofte å omgå antivirusprogrammer eller unnslippe virtuelle miljøer. Gaslight velger en annen strategi ved å angripe KI-støttede analyseprosesser.
Forskerne har ikke bekreftet at teknikken allerede kan omgå dagens KI-baserte plattformer for analyse av skadevare. De mener likevel at kampanjen viser en økende interesse for metoder som er spesialutviklet for å motarbeide KI-basert analyse.
Etter hvert som flere sikkerhetsteam tar i bruk store språkmodeller i arbeidet med skadevareanalyse, vil angripere sannsynligvis fortsette å utvikle teknikker som manipulerer automatiserte analyser i stedet for tradisjonelle deteksjonssystemer.
Fremveksten av Gaslight markerer en ny fase i kampen mellom cyberkriminelle og forsvarere, der kunstig intelligens har blitt et nytt mål for angripere – ikke bare et verktøy for cybersikkerhet.


0 responses to “Gaslight-skadevare retter seg mot KI-basert analyse på macOS”