Um novo e sofisticado malware, batizado de Gaslight, tem chamado a atenção da comunidade de cibersegurança por sua abordagem inovadora e insidiosa. Desenvolvido para o sistema operacional macOS, o Gaslight não se limita a explorar vulnerabilidades técnicas tradicionais; ele emprega táticas de manipulação de linguagem para enganar até mesmo as mais avançadas ferramentas de análise de código baseadas em Inteligência Artificial (IA). Especialistas da SentinelOne associam o desenvolvimento deste malware a grupos com possíveis ligações com a Coreia do Norte (КНДР), destacando a natureza geopolítica e os interesses por trás de sua criação.
O Gaslight é escrito na linguagem de programação Rust e opera como um implante malicioso, combinando funcionalidades de controle remoto e roubo de informações. Sua característica mais notável é a inclusão de um módulo de 'prompt injection', projetado especificamente para explorar as vulnerabilidades de Grandes Modelos de Linguagem (LLMs) que auxiliam analistas de segurança. Em vez de focar em quebrar 'sandboxes' ou evadir detecção por antivírus convencionais, o Gaslight tenta manipular a percepção das ferramentas de IA, apresentando-as com informações falsas ou enganosas. O malware utiliza a API do Telegram como canal de comunicação para receber comandos do operador, executar ações no sistema infectado, extrair dados e até mesmo encerrar sua própria operação. Para garantir persistência, ele cria um 'LaunchAgent' disfarçado com um nome que simula um serviço legítimo do sistema operacional, como 'com.apple.system.services.activity'.
O módulo de roubo de dados do Gaslight é particularmente abrangente. Ele inclui um script Python, codificado em Base64, capaz de coletar um vasto leque de informações sensíveis do Mac infectado. Isso abrange o histórico de comandos do Terminal, a lista de aplicativos instalados, detalhes sobre processos em execução, o perfil de hardware e software do sistema, e o conteúdo do macOS Keychain, que armazena senhas e outras credenciais. Adicionalmente, ele extrai dados de navegadores populares como Chrome, Brave, Firefox e Safari. Todas essas informações são compactadas em um arquivo ZIP e exfiltradas via Telegram. O instalador do Gaslight, escrito em bash, utiliza um interpretador CPython 3.10.18, e a presença de comentários e emojis no código sugere que parte dele pode ter sido gerada por LLMs. A configuração do operador, como o token do bot e o ID do chat, não é embutida no malware, mas passada durante a execução, e o próprio implante oculta o token em sua saída para dificultar a análise de logs e dados de falha. A tentativa de sabotar a análise por IA se manifesta através de um bloco de Markdown contendo 38 mensagens de erro simuladas, como falhas de sistema, falta de memória e erros de disco. O objetivo é fazer com que os sistemas de análise automática baseados em IA interrompam ou recusem a análise do malware, confundindo o agente de IA em vez de atacar diretamente o ambiente de análise.
