ИБ-специалисты из SentinelOne обнаружили новый вирус для macOS, цель которого обмануть ИИ-агентов для аналитики вредоносного ПО. Его назвали Gaslight.

Gaslight, как пояснили безопасники, заставляет защитных ботов прервать или отклонить анализ малварей. В его архитектуре присутствует Markdown-файл с ложными сообщениями о проблемах: истечении срока действия токенов, сбоях из-за нехватки памяти, повторяющихся ошибках в работе и так далее. Эти промпт-инъекции и путают агента, заставляя усомниться в работоспособности.

Код вируса позволяет собирать данные на устройстве: историю команд терминала, списки установленного софта, скриншоты запущенных процессов, профили аппаратного и программного обеспечения системы, базы Keychain macOS, а также информацию из браузеров Chrome, Brave, Firefox и Safari. Всё это сжимается в ZIP-архив и отправляется оператору «Газлайта» в Telegram-бот.

Эксперты SentinelOne предполагают, что и сам вирус написан с использованием ИИ — из-за оформления, языка и наличия смайликов.