Appleデバイスの管理とセキュリティを専門とするMosyle社は、AIを利用した新たなmacOS向けマルウェア「SimpleStealth」を発見したと発表しました。このマルウェアは、Generative AIモデルのコードを含む初めてのMacマルウェアのサンプルであるということです。
Mosyle社のセキュリティ研究チームによれば、発見当初、この脅威は主要なアンチウイルスエンジンによって検出されていなかったとしています。約1年前、Moonlock Labはダークウェブフォーラムでの会話を通じて、大規模言語モデルがmacOSをターゲットにしたマルウェアの作成に使用されていると警告していました。
このキャンペーンは、人気のAIアプリ「Grok」を模倣した偽のウェブサイトを通じて拡散されているとされています。脅威の主体は、ユーザーを騙して悪意のあるmacOSインストーラーをダウンロードさせるために、似たドメインを使用しています。起動されると、被害者は本物のGrokアプリのように見えるアプリを提示されますが、その裏で悪意のある活動が静かに行われます。
Mosyle社によると、SimpleStealthは初回実行時にmacOSのセキュリティ保護を回避するよう設計されています。ユーザーにシステムパスワードの入力を促し、Appleの隔離保護を解除し、実際のペイロードを準備します。ユーザーからは通常のAI関連コンテンツが表示され、本物のGrokアプリと変わらないように見えます。
裏では、Monero(XMR)暗号通貨の採掘が行われており、ウェブサイトでは「迅速な支払い」や「機密性と追跡不能性」が強調されています。採掘活動は、Macが1分以上アイドル状態のときにのみ開始され、ユーザーがマウスを動かしたりタイプしたりすると即座に停止します。さらに、kernel_taskやlaunchdなどの一般的なシステムプロセスを模倣して、異常な動作をユーザーに気づかれにくくしています。
9to5Macが確認した証拠によれば、AIはマルウェアのコード全体に使用されており、AI生成スクリプト特有の長ったらしいコメントや英語とブラジルポルトガル語の混合、繰り返しのロジックパターンが特徴です。
この状況は、AIが攻撃者の参入障壁を急速に下げているため、非常に警戒すべきものです。インターネット接続があれば誰でもSimpleStealthのようなサンプルを作成でき、新たな脅威の作成と展開の速度が加速しています。
安全を保つ最善の方法は、サードパーティのサイトから何もダウンロードしないことです。アプリは必ずMac App Storeや信頼できる開発者のウェブサイトから直接入手してください。