| 9 января 2026 г. — 7:19 PT
Mosyle, популярная компания по управлению и безопасности устройств Apple, эксклюзивно поделилась с 9to5Mac подробностями о ранее неизвестной кампании вредоносного ПО для macOS. Хотя майнеры криптовалют на macOS не являются чем-то новым, это открытие, по-видимому, является первым обнаруженным в дикой природе образцом вредоносного ПО для Mac, содержащим код из генеративных моделей ИИ — официально подтверждая неизбежное.
На момент обнаружения команда исследователей безопасности Mosyle сообщила, что угроза не была обнаружена всеми основными антивирусными программами. Это произошло почти через год после того, как Moonlock Lab предупредила о разговорах на форумах даркнета, указывающих на то, как большие языковые модели используются для написания вредоносного ПО, нацеленного на macOS.
Кампания, которую Mosyle называет SimpleStealth, распространяется через убедительный поддельный веб-сайт, выдающий себя за популярное приложение ИИ Grok. Злоумышленники используют похожий домен, чтобы обмануть пользователей и заставить их скачать вредоносный установщик для macOS. При запуске жертвам представляется приложение Grok, которое выглядит как полнофункциональное и ведет себя как настоящее. Это распространенный метод, используемый для того, чтобы приложение оставалось на переднем плане, в то время как вредоносная активность незаметно выполняется в фоновом режиме, позволяя вредоносному ПО работать дольше, не будучи замеченным.
По данным Mosyle, SimpleStealth предназначен для обхода средств защиты macOS при первом запуске. Приложение запрашивает у пользователя пароль системы под предлогом выполнения простой задачи настройки. Это позволяет вредоносному ПО снять карантинные ограничения Apple и подготовить свой истинный полезный груз. С точки зрения пользователя все выглядит нормально, поскольку приложение продолжает отображать привычный контент, связанный с ИИ, как и настоящее приложение Grok.
Однако за кулисами вредоносное ПО развертывает незаметный майнер криптовалют Monero (XMR), который на своем веб-сайте хвастается «более быстрыми выплатами» и тем, что он «конфиденциален и неотслеживаем». Чтобы оставаться скрытым, майнинг начинается только тогда, когда Mac простаивает не менее минуты, и немедленно прекращается, когда пользователь двигает мышью или печатает. Майнер дополнительно маскируется, имитируя обычные системные процессы, такие как kernel_task и launchd, что значительно затрудняет обнаружение пользователями аномального поведения.
В доказательствах, увиденных 9to5Mac, использование ИИ обнаружено во всем коде вредоносного ПО, который содержит необычно многословные комментарии, смесь английского и бразильского португальского языков, а также повторяющиеся логические шаблоны, характерные для скриптов, сгенерированных ИИ.
В целом, эта ситуация вызывает беспокойство по нескольким причинам. В первую очередь потому, что ИИ ускоряет появление новых атакующих быстрее, чем могут возникнуть опасения по поводу «вредоносного ПО как услуги». Практически любой, у кого есть доступ в Интернет, теперь может создавать такие образцы, как SimpleStealth, что значительно ускоряет темпы создания и развертывания новых угроз.
Лучший способ оставаться в безопасности — избегать загрузки чего-либо с сторонних сайтов. Всегда загружайте приложения напрямую из Mac App Store или напрямую с веб-сайтов разработчиков, которым вы доверяете.
Подписывайтесь на Арина: Twitter/X, LinkedIn, Threads
Индикаторы компрометации
Ниже вы найдете индикаторы компрометации (IoC) образца SimpleStealth для вашего собственного исследования или для улучшения обнаружения в вашей организации. Будьте осторожны при посещении любых наблюдаемых доменов.
Семейство вредоносного ПО: SimpleStealth
Название дистрибутива: Grok.dmg
Целевая платформа: macOS
Наблюдаемый домен: xaillc[.]com
Адрес кошелька: 4AcczC58XW7BvJoDq8NCG1esaMJMWjA1S2eAcg1moJvmPWhU1PQ6ZYWbPk3iMsZSqigqVNQ3cWR8MQ43xwfV2gwFA6GofS3
Хэши SHA-256:
- 553ee94cf9a0acbe806580baaeaf9dea3be18365aa03775d1e263484a03f7b3e (Grok.dmg)
- e379ee007fc77296c9ad75769fd01ca77b1a5026b82400dbe7bfc8469b42d9c5 (Grok wrapper)
- 2adac881218faa21638b9d5ccc05e41c0c8f2635149c90a0e7c5650a4242260b (grok_main.py)
- 688ad7cc98cf6e4896b3e8f21794e33ee3e2077c4185bb86fcd48b63ec39771e (idle_monitor.py)
- 7813a8865cf09d34408d2d8c58452dbf4f550476c6051d3e85d516e507510aa0 (working_stealth_miner.py)