Mosyle, una popular empresa de seguridad y administración de dispositivos Apple, ha compartido detalles exclusivamente con 9to5Mac en una campaña de malware macOS previamente desconocida. Si bien los mineros criptográficos en macOS no son nada nuevo, el descubrimiento parece ser la primera muestra de malware para Mac descubierta en la naturaleza que contiene código de modelos generativos de IA, lo que confirma oficialmente lo que era inevitable.
En el momento del descubrimiento, el equipo de investigación de seguridad de Mosyle dice que ninguno de los principales motores antivirus detectó la amenaza. Esto ocurre casi un año después de que Moonlock Lab advirtiera sobre conversaciones en foros de la web oscura que indicaban cómo se estaban utilizando modelos de lenguaje grandes para escribir malware dirigido a macOS.
La campaña, que Mosyle llama SimpleStealth, se está difundiendo a través de un sitio web falso y convincente que se hace pasar por la popular aplicación de inteligencia artificial, Grok. Los actores de amenazas están utilizando un dominio similar para engañar a los usuarios para que descarguen un instalador malicioso de macOS. Cuando se inicia, a las víctimas se les presenta lo que parece ser una aplicación Grok en pleno funcionamiento que se ve y se comporta como si fuera real. Esta es una técnica común utilizada para mantener la aplicación al frente y al centro mientras la actividad maliciosa se ejecuta silenciosamente en segundo plano, lo que permite que el malware funcione durante más tiempo sin ser detectado.
Según Mosyle, SimpleStealth está diseñado para eludir las medidas de seguridad de macOS durante su primera ejecución. La aplicación solicita al usuario la contraseña del sistema con el pretexto de completar una tarea de configuración simple. Esto permite que el malware elimine las protecciones de cuarentena de Apple y prepare su verdadera carga útil. Desde la perspectiva del usuario, todo parece normal ya que la aplicación continúa mostrando contenido familiar relacionado con la IA que mostraría la aplicación Grok real.
Sin embargo, detrás de escena, el malware implementa el criptominero sigiloso Monero (XMR) que se jacta de tener «pagos más rápidos» y de ser «confidencial e imposible de rastrear» en su sitio web. Para permanecer oculta, la actividad minera solo comienza cuando la Mac ha estado inactiva durante al menos un minuto y se detiene inmediatamente cuando el usuario mueve el mouse o escribe. El minero se disfraza aún más imitando procesos comunes del sistema como kernel_task y launchdlo que hace mucho más difícil para los usuarios detectar comportamientos anormales.
En evidencia vista por 9to5Macel uso de IA se encuentra en todo el código del malware, que presenta comentarios inusualmente largos, una mezcla de inglés y portugués brasileño y patrones lógicos repetitivos que son característicos de los scripts generados por IA.
En general, esta situación es alarmante por varias razones. Principalmente porque la IA está reduciendo la barrera de entrada para los atacantes más rápido de lo que podrían hacerlo las preocupaciones en torno al «malware como servicio». Prácticamente cualquier persona con acceso a Internet ahora puede crear muestras como SimpleStealth, lo que acelera significativamente el ritmo al que se pueden crear e implementar nuevas amenazas.
La mejor manera de mantenerse seguro es evitar descargar nada de sitios de terceros. Obtenga siempre sus aplicaciones directamente desde Mac App Store o directamente desde sitios web de desarrolladores en los que confíe.
Folvídate de: Gorjeo/XLinkedIn, Hilos
Indicadores de compromiso
A continuación puede encontrar los indicadores de compromiso (IoC) de la muestra SimpleStealth para su propia investigación o para mejorar la detección en su organización. Tenga cuidado al visitar cualquier dominio observado.
Familia de malware: SimpleSigilo
Nombre de distribución: Grok.dmg
Plataforma de destino: macos
Dominio observado: xaillc(.)com
Dirección de billetera: 4AcczC58XW7BvJoDq8NCG1esaMJMWjA1S2eAcg1moJvmPWhU1PQ6ZYWbPk3iMsZSqigqVNQ3cWR8MQ43xwfV2gwFA6GofS3
Hashes SHA-256:
- 553ee94cf9a0acbe806580baaeaf9dea3be18365aa03775d1e263484a03f7b3e (Grok.dmg)
- e379ee007fc77296c9ad75769fd01ca77b1a5026b82400dbe7bfc8469b42d9c5 (envoltorio Grok)
- 2adac881218faa21638b9d5ccc05e41c0c8f2635149c90a0e7c5650a4242260b (grok_main.py)
- 688ad7cc98cf6e4896b3e8f21794e33ee3e2077c4185bb86fcd48b63ec39771e (idle_monitor.py)
- 7813a8865cf09d34408d2d8c58452dbf4f550476c6051d3e85d516e507510aa0 (working_stealth_miner.py)
