تم العثور على عملية زرع وسرقة معلومات غير موثقة مسبقًا لنظام التشغيل MacOS تقوم بتضمين حمولة حقن سريعة مصممة لخداع أدوات الذكاء الاصطناعي (AI) الخاصة بمحلل البرامج الضارة وخداعها لإجهاض أو رفض تحليل القطعة الأثرية.
تمت تسمية البرامج الضارة باسم رمزي ضوء الغاز بسبب هذا السلوك الخادع. لقد تم التقييم بثقة عالية أن الأداة هي من عمل جهات التهديد المتحالفة مع كوريا الشمالية.
وقال فيل ستوكس الباحث في SentinelOne في تقرير فني: “الميزة الأكثر بروزًا هي سلسلة مضمنة من رسائل فشل النظام الملفقة، المصممة لجعل وكيل الفرز بمساعدة LLM يشكك في جلسته الخاصة”. “إنه يهاجم إدراك العميل، وليس صندوق الحماية الذي يعمل فيه.”
ومن العناصر الأساسية في بنية البرمجيات الخبيثة قناة الأوامر والتحكم (C2) المستندة إلى Telegram bot API والتي تدخل في حلقة استقصاء، مما يسمح للمشغل بإصدار تعليمات عبر غلاف تفاعلي وإرجاع نتائج التنفيذ. في حالة وجود مثيلين لنفس استقصاء رمز الروبوت المميز في وقت واحد، يتم إصدار استجابة “تعارض”، مما يؤدي إلى إنهاء النسخة الثانية.
تدعم الصدفة ستة أوامر رئيسية، مما يمنح موطئ قدم مستمر على المضيف المصاب –
- مساعدة، لإظهار مساعدة الأمر
- معرف، لتحديد عملية الزرع للمشغل
- Shell لتنفيذ أمر Shell عبر execvp
- kill، لإنهاء العملية المستهدفة بواسطة PID
- تحميل، لتصفية ملف عبر آلية “attach://” الخاصة بـ Telegram
- توقف، لوقف تنفيذ عملية الزرع
وقالت شركة SentinelOne إنها حددت علامات تشير إلى وجود أمر سابع يسمى “التركيز”، على الرغم من أن وظيفته لا تزال غير محددة في هذه المرحلة. لتحقيق الاستمرارية، تستخدم Gaslight برنامج LaunchAgent الذي يستخدم التصنيف “com.apple.system.services.activity” في ملف .plist الخاص به.
يوجد أيضًا داخل البرنامج الضار نص Python مشفر بحجم 6.6 كيلو بايت Base64 يعمل كمجموعة جمع معلومات مسؤولة عن حصاد سجلات الأوامر الطرفية، وقوائم التطبيقات المثبتة، ولقطات من العمليات قيد التشغيل، وملفات تعريف أجهزة النظام والبرامج، وقاعدة بيانات macOS Keychain، والبيانات من متصفحات الويب Chrome وBrave وFirefox وSafari. يتم بعد ذلك ضغط البيانات المجمعة في أرشيف ZIP (“temp/collected_data.zip”) وتحميلها عبر Telegram.
يتم نشر أداة سرقة Python، من جانبها، عن طريق مثبت bash منفصل مشفر بتشفير Base64 بسعة 2 كيلوبايت، والذي يسقط مترجم cpython-3.10.18 من مشروع “astral-sh/python-build-standalone”. يشير وجود الرموز التعبيرية ورؤوس التعليقات الشاملة إلى أنه من المحتمل أن يتم إنشاؤها باستخدام نموذج لغة كبير (LLM).
ما هو ملحوظ في Gaslight هو أن التفاصيل المتعلقة برمز الروبوت ومعرف الدردشة (tg_room_id) وبقية تكوين المشغل لا يتم ترميزها بشكل ثابت في العينة، بل يتم توفيرها في وقت التشغيل. وأضاف ستوكس: “تقوم عملية الزرع بتنقيح رمز Telegram bot الخاص بها ذاتيًا في وقت التشغيل الخاص بها، مما يحرم أي شخص يلتقط السجلات أو يعطل العناصر من ذلك”.
علاوة على ذلك، تحاول البرمجيات الخبيثة التهرب من الكشف القائم على الذكاء الاصطناعي من خلال دمج كتلة مسيجة تحتوي على 38 رسالة “نظام” ملفقة مصممة لخداع وكيل الأمن لإلغاء التحليل أو اقتطاعه أو رفضه.
قال SentinelOne: “تحتوي السقالة على رسائل نظام مزيفة حول انتهاء صلاحية الرمز المميز، وعمليات القتل خارج الذاكرة، واستنفاد القرص، وفشل التشغيل المتكرر. كما أنها تزرع تحذيرات زائفة حول نقاط الضعف في الحقن وإشارات التحليل الثابت”، واصفة إياها بأنها “محاولة لاستخدام خطوط أنابيب الفرز المدعومة من LLM والتي تقع بشكل متزايد في حلقة الهندسة العكسية”.
