Компания Mosyle выявила кампанию вредоносного ПО SimpleStealth для macOS — один из первых задокументированных случаев использования генеративных ИИ-моделей в коде реальной угрозы. Это криптомайнер Monero, маскирующийся под приложение Grok от xAI, распространяется через фейковый сайт с доменом xaillc[.]com в виде файла Grok.dmg.
Распространение и установка
Злоумышленники имитируют интерфейс настоящего Grok, чтобы приложение выглядело функциональным и отвлекало пользователя, пока вредоносный код работает в фоне. При первом запуске malware запрашивает системный пароль под предлогом настройки, снимает карантинные атрибуты Apple и устанавливает payload. На момент обнаружения угроза обходила все основные антивирусы, включая VirusTotal.
Механизм работы майнера
Майнинг активируется только при простое Mac не менее минуты и останавливается при движении мыши или вводе текста, минимизируя заметность нагрузки на CPU. Процессы маскируются под системные kernel_task и launchd, что затрудняет обнаружение в Activity Monitor или top.
Признаки ИИ-генерации
Код содержит длинные комментарии, смесь английского и бразильского португальского, повторяющуюся логику — типичные артефакты от LLM вроде ChatGPT или Grok. Это снижает барьер входа для новичков-атакующих, ускоряя разработку угроз.
Рекомендации по защите
Устанавливайте приложения только из Mac App Store или проверенных сайтов разработчиков, игнорируйте запросы пароля от скачанных DMG. Внедряйте MDM-системы вроде Mosyle для мониторинга и блокировки подозрительных доменов/IoC в корпоративной среде.
