Mosyle, una popular empresa de seguridad y distribución de dispositivos Apple, ha compartido detalles exclusivamente con 9to5Mac en una campaña de malware macOS previamente desconocida. Si correctamente los mineros criptográficos en macOS no son nadie nuevo, el descubrimiento parece ser la primera muestra de malware para Mac descubierta en la naturaleza que contiene código de modelos generativos de IA, lo que confirma oficialmente lo que era preciso.
En el momento del descubrimiento, el equipo de investigación de seguridad de Mosyle dice que ningún de los principales motores antivirus detectó la amenaza. Esto ocurre casi un año luego de que Moonlock Lab advirtiera sobre conversaciones en foros de la web oscura que indicaban cómo se estaban utilizando modelos de lengua grandes para escribir malware dirigido a macOS.
La campaña, que Mosyle ardor SimpleStealth, se está difundiendo a través de un sitio web apócrifo y convincente que se hace acaecer por la popular aplicación de inteligencia sintético, Grok. Los actores de amenazas están utilizando un dominio similar para engañar a los usuarios para que descarguen un instalador receloso de macOS. Cuando se inicia, a las víctimas se les presenta lo que parece ser una aplicación Grok en pleno funcionamiento que se ve y se comporta como si fuera actual. Esta es una técnica global utilizada para abastecer la aplicación al frente y al centro mientras la actividad maliciosa se ejecuta silenciosamente en segundo plano, lo que permite que el malware funcione durante más tiempo sin ser detectado.
Según Mosyle, SimpleStealth está diseñado para eludir las medidas de seguridad de macOS durante su primera ejecución. La aplicación solicita al agraciado la contraseña del sistema con el pretexto de completar una tarea de configuración simple. Esto permite que el malware elimine las protecciones de cuarentena de Apple y prepare su verdadera carga útil. Desde la perspectiva del agraciado, todo parece frecuente ya que la aplicación continúa mostrando contenido común relacionado con la IA que mostraría la aplicación Grok actual.
Sin retención, detrás de ambiente, el malware implementa el criptominero sigiloso Monero (XMR) que se jacta de tener «pagos más rápidos» y de ser «confidencial e increíble de rastrear» en su sitio web. Para permanecer oculta, la actividad minera solo comienza cuando la Mac ha estado inactiva durante al menos un minuto y se detiene inmediatamente cuando el agraciado mueve el mouse o escribe. El minero se disfraza aún más imitando procesos comunes del sistema como kernel_task y launchdlo que hace mucho más difícil para los usuarios detectar comportamientos anormales.
En evidencia clarividencia por 9to5Macel uso de IA se encuentra en todo el código del malware, que presenta comentarios inusualmente largos, una mezcla de inglés y portugués brasileño y patrones lógicos repetitivos que son característicos de los scripts generados por IA.
En universal, esta situación es preocupante por varias razones. Principalmente porque la IA está reduciendo la barrera de entrada para los atacantes más rápido de lo que podrían hacerlo las preocupaciones en torno al «malware como servicio». Prácticamente cualquier persona con entrada a Internet ahora puede crear muestras como SimpleStealth, lo que acelera significativamente el ritmo al que se pueden crear e implementar nuevas amenazas.
La mejor guisa de mantenerse seguro es evitar descargar nadie de sitios de terceros. Obtenga siempre sus aplicaciones directamente desde Mac App Store o directamente desde sitios web de desarrolladores en los que confíe.
Folvídate de: Gorjeo/XLinkedIn, Hilos
Indicadores de compromiso
A continuación puede encontrar los indicadores de compromiso (IoC) de la muestra SimpleStealth para su propia investigación o para mejorar la detección en su estructura. Tenga cuidado al presentarse cualquier dominio observado.
Grupo de malware: SimpleSigilo
Nombre de distribución: Grok.dmg
Plataforma de destino: macos
Dominio observado: xaillc(.)com
Dirección de billetera: 4AcczC58XW7BvJoDq8NCG1esaMJMWjA1S2eAcg1moJvmPWhU1PQ6ZYWbPk3iMsZSqigqVNQ3cWR8MQ43xwfV2gwFA6GofS3
Hashes SHA-256:
- 553ee94cf9a0acbe806580baaeaf9dea3be18365aa03775d1e263484a03f7b3e (Grok.dmg)
- e379ee007fc77296c9ad75769fd01ca77b1a5026b82400dbe7bfc8469b42d9c5 (envoltorio Grok)
- 2adac881218faa21638b9d5ccc05e41c0c8f2635149c90a0e7c5650a4242260b (grok_main.py)
- 688ad7cc98cf6e4896b3e8f21794e33ee3e2077c4185bb86fcd48b63ec39771e (idle_monitor.py)
- 7813a8865cf09d34408d2d8c58452dbf4f550476c6051d3e85d516e507510aa0 (working_stealth_miner.py)
