Mosileuna popular empresa de seguridad y administración de dispositivos Apple, compartió detalles exclusivamente con 9to5Mac en una campaña de malware macOS previamente desconocida. Si bien los mineros criptográficos en macOS no son nada nuevo, el descubrimiento parece ser la primera muestra de malware para Mac descubierto en la naturaleza que contiene código de modelos generativos de IA, lo que confirma oficialmente lo que era inevitable.
En el momento de su descubrimiento, el equipo de investigación de seguridad de Mosyle dijo que la amenaza no fue detectada por todos los principales motores antivirus. Esto llega casi un año después. Laboratorio Moonlock advirtió sobre discusiones en foros de la Dark Web que indican cómo se estaban utilizando modelos de lenguaje grandes para escribir malware dirigido a macOS.
La campaña, que Mosyle llama SimpleStealth, se difunde a través de un convincente sitio web falso que se hace pasar por la popular aplicación de inteligencia artificial Grok. Los actores de amenazas utilizan un dominio similar para engañar a los usuarios para que descarguen un instalador malicioso de macOS. Una vez iniciada, a las víctimas se les presenta lo que parece ser una aplicación Grok completamente funcional que se ve y se comporta como si fuera real. Esta es una técnica común que se utiliza para mantener la aplicación en primer plano mientras la actividad maliciosa se ejecuta silenciosamente en segundo plano, lo que permite que el malware se ejecute durante más tiempo sin que se note.
Según Mosyle, SimpleStealth está diseñado para eludir las medidas de seguridad de macOS cuando se ejecuta por primera vez. La aplicación solicita al usuario su contraseña del sistema con el pretexto de realizar una tarea de configuración simple. Esto permite que el malware elimine las protecciones de cuarentena de Apple y prepare su carga útil real. Desde la perspectiva del usuario, todo parece normal ya que la aplicación continúa mostrando contenido familiar relacionado con la IA como lo haría la aplicación Grok real.
Sin embargo, detrás de escena, el malware implementa el criptominero sigiloso Monero (XMR), que se jacta de tener «pagos más rápidos» y de ser «privado e imposible de rastrear» en su sitio web. Para permanecer oculta, la actividad minera solo comienza cuando la Mac está inactiva durante al menos un minuto y se detiene inmediatamente cuando el usuario mueve el mouse o escribe. El minero se disfraza aún más imitando procesos comunes del sistema como kernel_task Y launchdlo que hace mucho más difícil para los usuarios detectar comportamientos anormales.
En evidencia vista por 9to5MacEl uso de IA se refleja en el código del malware, que presenta comentarios inusualmente largos, una mezcla de inglés y portugués brasileño y patrones lógicos repetitivos característicos de los scripts generados por IA.
En general, esta situación es alarmante por varias razones. Principalmente porque la IA reduce las barreras de entrada para los atacantes más rápido de lo que podrían hacerlo las preocupaciones en torno al «malware como servicio”. Prácticamente cualquier persona con acceso a Internet ahora puede crear muestras como SimpleStealth, lo que acelera enormemente el ritmo al que se pueden crear e implementar nuevas amenazas.
La mejor manera de mantenerse seguro es evitar descargar nada de sitios de terceros. Busque siempre sus aplicaciones directamente desde Mac App Store o directamente desde los sitios web de desarrolladores de su confianza.
Folvidar: Gorjeo/X, LinkedIn, Temas
Indicadores de compromiso
A continuación encontrará los indicadores de compromiso (IoC) de muestra de SimpleStealth para su propia investigación o para mejorar la detección en su organización. Tenga precaución al visitar áreas observadas.
Familia de malware: SimpleSigilo
Nombre de distribución: Grok.dmg
Plataforma de destino: macos
Dominio observado: xaillc(.)con
Dirección de billetera: 4AcczC58XW7BvJoDq8NCG1esaMJMWjA1S2eAcg1moJvmPWhU1PQ6ZYWbPk3iMsZSqigqVNQ3cWR8MQ43xwfV2gwFA6GofS3
Hashes SHA-256:
- 553ee94cf9a0acbe806580baaeaf9dea3be18365aa03775d1e263484a03f7b3e (Grok.dmg)
- e379ee007fc77296c9ad75769fd01ca77b1a5026b82400dbe7bfc8469b42d9c5 (embalaje Grok)
- 2adac881218faa21638b9d5ccc05e41c0c8f2635149c90a0e7c5650a4242260b (grok_main.py)
- 688ad7cc98cf6e4896b3e8f21794e33ee3e2077c4185bb86fcd48b63ec39771e (idle_monitor.py)
- 7813a8865cf09d34408d2d8c58452dbf4f550476c6051d3e85d516e507510aa0 (working_stealth_miner.py)
