يحدد Mosyle واحدًا من أولى التهديدات المعروفة لبرامج Mac الضارة المدعومة بالذكاء الاصطناعي

موسيل، وهي شركة شهيرة لإدارة أجهزة Apple وأمنها، قامت بمشاركة التفاصيل حصريًا مع 9to5Mac على غير معروف من قبل البرمجيات الخبيثة لنظام التشغيل MacOS حملة. في حين أن القائمين بتعدين العملات المشفرة على نظام التشغيل macOS ليسوا شيئًا جديدًا، يبدو أن هذا الاكتشاف هو أول عينة من البرامج الضارة لنظام التشغيل Mac يتم اكتشافها في البرية والتي تحتوي على تعليمات برمجية من نماذج الذكاء الاصطناعي التوليدية – مما يؤكد رسميًا ما كان لا مفر منه.

وفي وقت الاكتشاف، قال فريق البحث الأمني ​​في موسيل إن التهديد لم يتم اكتشافه من قبل جميع محركات مكافحة الفيروسات الرئيسية. ويأتي هذا بعد عام تقريبًا حذر مختبر Moonlock حول الثرثرة في منتديات الويب المظلمة التي تشير إلى كيفية استخدام نماذج اللغة الكبيرة لكتابة برامج ضارة تستهدف نظام التشغيل macOS.

وتنتشر الحملة، التي يطلق عليها موسيل اسم SimpleStealth، من خلال موقع ويب مزيف ومقنع ينتحل صفة تطبيق الذكاء الاصطناعي الشهير، جروك. يستخدم ممثلو التهديد نطاقًا مشابهًا لخداع المستخدمين لتنزيل برنامج تثبيت macOS ضار. عند إطلاقه، يُعرض على الضحايا ما يبدو أنه تطبيق Grok كامل الوظائف والذي يبدو ويتصرف مثل التطبيق الحقيقي. هذه تقنية شائعة تُستخدم لإبقاء التطبيق في المقدمة وفي المنتصف أثناء تشغيل النشاط الضار بهدوء في الخلفية، مما يسمح للبرامج الضارة بالعمل لفترة أطول دون أن يتم ملاحظتها.

وفقًا لموسيل، تم تصميم SimpleStealth للتجاوز أمان نظام التشغيل MacOS الضمانات أثناء التنفيذ الأول. يطالب التطبيق المستخدم بكلمة مرور النظام الخاصة به تحت ستار إكمال مهمة إعداد بسيطة. يسمح هذا للبرامج الضارة بإزالة إجراءات الحماية الخاصة بشركة Apple وإعداد حمولتها الحقيقية. من وجهة نظر المستخدم، يبدو كل شيء طبيعيًا حيث يستمر التطبيق في عرض محتوى مألوف متعلق بالذكاء الاصطناعي مثل تطبيق Grok الحقيقي.

ومع ذلك، خلف الكواليس، تنشر البرمجيات الخبيثة أداة تعدين العملات المشفرة Monero (XMR) التي تفتخر بوجود “دفعات أسرع” وكونها “سرية ولا يمكن تعقبها” على موقعها الإلكتروني. للبقاء مخفيًا، يبدأ نشاط التعدين فقط عندما يكون جهاز Mac خاملاً لمدة دقيقة على الأقل ويتوقف فورًا عندما يحرك المستخدم الماوس أو يكتب. يقوم عامل التعدين بإخفاء نفسه أيضًا عن طريق محاكاة عمليات النظام الشائعة مثل kernel_task و launchd، مما يجعل من الصعب على المستخدمين اكتشاف السلوك غير الطبيعي.

وفي الأدلة التي شاهدها 9to5Mac، تم العثور على استخدام الذكاء الاصطناعي في جميع أنحاء كود البرمجيات الخبيثة، والذي يتميز بتعليقات طويلة بشكل غير عادي، ومزيج من اللغتين الإنجليزية والبرتغالية البرازيلية، وأنماط منطقية متكررة تميز النصوص البرمجية التي ينشئها الذكاء الاصطناعي.

بشكل عام، هذا الوضع مثير للقلق لعدة أسباب. ويرجع ذلك في المقام الأول إلى أن الذكاء الاصطناعي يعمل على تقليل حاجز دخول المهاجمين بشكل أسرع من المخاوف المتعلقة بـ “البرامج الضارة كخدمة”. يمكن لأي شخص لديه إمكانية الوصول إلى الإنترنت الآن إنشاء نماذج مثل SimpleStealth، مما يؤدي إلى تسريع وتيرة إنشاء التهديدات الجديدة ونشرها بشكل كبير.

أفضل طريقة للبقاء آمنًا هي تجنب تنزيل أي شيء من مواقع الطرف الثالث. احصل دائمًا على تطبيقاتك مباشرة من Mac App Store أو مباشرة من مواقع المطورين التي تثق بها.

فننسى: تويتر/X, ينكدين, المواضيع

مؤشرات التسوية

يمكنك العثور أدناه على مؤشرات التسوية (IoCs) لعينة SimpleStealth لأبحاثك الخاصة أو لتحسين الاكتشاف في مؤسستك. توخي الحذر بشأن زيارة أي نطاقات تمت ملاحظتها.

عائلة البرامج الضارة: SimpleStealth
اسم التوزيع: Grok.dmg
منصة الهدف: ماك
المجال المرصود: xaillc(.)com

عنوان المحفظة: 4AcczC58XW7BvJoDq8NCG1esaMJMWjA1S2eAcg1moJvmPWhU1PQ6ZYWbPk3iMsZSqigqVNQ3cWR8MQ43xwfV2gwFA6GofS3

تجزئة SHA-256:

• 553ee94cf9a0acbe806580baaeaf9dea3be18365aa03775d1e263484a03f7b3e (Grok.dmg)
• e379ee007fc77296c9ad75769fd01ca77b1a5026b82400dbe7bfc8469b42d9c5 (Grok wrapper)
• 2adac881218faa21638b9d5ccc05e41c0c8f2635149c90a0e7c5650a4242260b (grok_main.py)
• 688ad7cc98cf6e4896b3e8f21794e33ee3e2077c4185bb86fcd48b63ec39771e (idle_monitor.py)
• 7813a8865cf09d34408d2d8c58452dbf4f550476c6051d3e85d516e507510aa0 (working_stealth_miner.py)