یک بدافزار جدید با نام Gaslight برای سیستمعامل macOS شناسایی شده است. این بدافزار با پنهان کردن رشتههای مربوط به Prompt Injection و دادههای جعلی اشکالزدایی (Debugging) در فایل اجرایی، ابزارهای تحلیل بدافزار مبتنی بر هوش مصنوعی را دچار سردرگمی میکند. هدف این روش آن است که سامانههای تحلیل خودکار را متقاعد کند در جریان بررسی، با خطا یا اختلال مواجه شدهاند.
امروزه پژوهشگران امنیت سایبری بهطور فزایندهای از ابزارهای مجهز به هوش مصنوعی برای تحلیل بدافزار و مهندسی معکوس استفاده میکنند؛ موضوعی که باعث شده مهاجمان نیز بهدنبال روشهای جدیدی برای فریب این ابزارها باشند.
هدف Gaslight
بدافزار Gaslight شامل رشتههایی است که تلاش میکنند ابزارهای تحلیل مبتنی بر هوش مصنوعی را متقاعد کنند که در فرایند تحلیل خطا یا مشکل دیگری رخ داده است. این موضوع میتواند باعث توقف تحلیل، ناقص ماندن نتایج یا ایجاد اختلال در روند بررسی بدافزار شود.بر اساس اعلام شرکت SentinelOne، شواهد موجود با اطمینان بالایی نشان میدهد که این بدافزار به یک گروه تهدید وابسته به کره شمالی نسبت داده میشود.
قابلیتهای بدافزار Gaslight
این بدافزار که با زبان برنامهنویسی Rust توسعه یافته است، از قابلیتهای Backdoor و سرقت اطلاعات برخوردار است؛ ویژگیهایی که در بسیاری از بدافزارهای مشابه نیز مشاهده میشوند. بااینحال، آنچه Gaslight را از سایر نمونهها متمایز میکند، یک Payload به حجم ۳.۵ کیلوبایت است که شامل ۳۸ پیام جعلی سیستمی بوده و مستقیماً در فایل اجرایی جاسازی شده است.
این پیامهای جعلی خود را در قالب لاگهای توسعهدهندگان، گزارشهای کرش (Crash Report)، خروجیهای اشکالزدایی (Debugging) و هشدارهای برنامه نشان میدهند. همچنین با استفاده از قالببندی Markdown و جاینگهدارهای (Placeholders) مشابه آنچه در کدهای برنامهنویسی دیده میشود، تلاش میکنند مانند دادههای واقعی حاصل از تحلیل به نظر برسند.
نمونههایی از این پیامها شامل دامپهای حافظه (Memory Dumps) ساختگی، هشدارهای انقضای توکن، خطاهای اتصال Redis، خطاهای خط لوله ساخت (Build Pipeline)، هشدارهای SQL Injection و پیامهای دیگری است که هیچ ارتباطی با رفتار واقعی بدافزار ندارند.
هدف بدافزار از ایجاد خطا
بهگفته شرکت SentinelOne ، هدف از قرار دادن این پیامها و خطاهای جعلی، فرار از شناسایی یا اجرای بدافزار در محیطهای Sandbox نیست؛ بلکه این بدافزار تلاش میکند سامانههای تحلیل مبتنی بر هوش مصنوعی را که در فرآیند تحلیل خودکار رشتههای متنی داخل فایل را بررسی میکنند، دچار سردرگمی کند.شاخصترین ویژگی Gaslight مجموعهای از پیامهای ساختگی مربوط به خرابی سیستم است که با هدف ایجاد تردید در عاملهای تحلیل مبتنی بر مدلهای زبانی بزرگ (LLM) طراحی شدهاند. این پیامها تلاش میکنند تحلیلگر هوش مصنوعی را متقاعد کنند که جلسه تحلیل با خطا، نقص یا شرایط غیرعادی مواجه شده است.
برخلاف بسیاری از بدافزارها که با هدف دور زدن محیطهای تحلیل مانند Sandbox توسعه داده میشوند، Gaslight مستقیماً ادراک و فرآیند تصمیمگیری سامانههای مبتنی بر LLM را هدف قرار میدهد. به همین دلیل پژوهشگران SentinelOne این خانواده بدافزاری را macOS.Gaslight نامگذاری کردهاند.این رشتهها در واقع نمونهای از محتوای Prompt Injection هستند که بهگونهای طراحی شدهاند تا زنجیره تحلیل مبتنی بر LLM را نسبت به اعتبار جلسه تحلیل دچار تردید کرده و آن را به توقف، ناقص رها کردن یا حتی خودداری از ادامه بررسی نمونه بدافزار وادار کنند.
اگرچه پژوهشگران SentinelOne تاکنون شواهدی مبنی بر موفقیت این تکنیک در فریب یا دور زدن سامانههای تحلیل بدافزار مبتنی بر هوش مصنوعی ارائه نکردهاند، اما کشف Gaslight نشان میدهد که مهاجمان سایبری بهطور فزایندهای در حال تطبیق روشهای خود با فناوریهای نوظهور هستند. این موضوع بیانگر آن است که ابزارهای مبتنی بر هوش مصنوعی نهتنها به ابزاری برای تقویت دفاع سایبری تبدیل شدهاند، بلکه خود نیز به هدفی جدید برای تکنیکهای فریب و ضدتحلیل مهاجمان بدل شدهاند.
بدافزار Gaslight نمونهای از نسل جدید تهدیداتی است که بهجای تمرکز بر دور زدن سازوکارهای سنتی امنیتی، تلاش میکنند فرآیند تصمیمگیری سامانههای هوشمند را مختل کنند. هرچند هنوز میزان اثربخشی این رویکرد بهطور کامل مشخص نیست، اما ظهور چنین تکنیکهایی نشان میدهد که رقابت میان مهاجمان و مدافعان در عصر هوش مصنوعی وارد مرحله تازهای شده است؛ مرحلهای که در آن امنیت سامانههای مبتنی بر LLM و ابزارهای تحلیل خودکار، به اندازه امنیت زیرساختهای سنتی اهمیت خواهد داشت.


0 دیدگاه