Novo malware para macOS incorpora erros falsos para confundir ferramentas de análise de IA

Uma nova ameaça à cibersegurança para macOS, batizada de Gaslight, foi identificada e representa um avanço tático dos cibercriminosos. Desenvolvido em Rust, o malware não se limita a roubar dados ou criar backdoors; ele foi projetado especificamente para confundir as ferramentas de análise de segurança que utilizam inteligência artificial. Sua técnica principal consiste em injetar dados falsos, como mensagens de erro simuladas, dentro do próprio código executável. Essas mensagens, formatadas para parecerem logs de desenvolvimento ou relatórios de falha, buscam induzir os modelos de linguagem (LLMs) a interpretarem erroneamente o binário, levando-os a abortar a análise ou a relatar falhas inexistentes.

A investigação da SentinelOne aponta que o Gaslight insere aproximadamente 38 mensagens falsas, que simulam condições como falta de memória, esgotamento de disco e expiração de tokens. O objetivo não é enganar a análise em sandbox, mas sim atacar a percepção das ferramentas de IA que processam o código, levando-as a duvidar da própria sessão de análise. A atribuição a um grupo ligado à Coreia do Norte sugere motivações geopolíticas, focadas em espionagem ou roubo de propriedade intelectual, evidenciando uma nova fronteira na guerra digital onde as próprias ferramentas de defesa se tornam alvos.

Este novo malware para macOS, o Gaslight, introduz uma evolução significativa nas táticas de evasão. Diferentemente de malwares anteriores focados apenas em sandbox evasion ou ofuscação de código tradicional, o Gaslight ataca diretamente a camada de análise assistida por IA. A principal inovação é o uso de 'prompt injection', uma técnica que visa manipular diretamente os LLMs utilizados em pipelines de triagem e análise de segurança. As mensagens falsas embutidas são projetadas para interagir com o modelo de linguagem, fazendo-o questionar a validade de sua própria análise, uma abordagem nova em relação a mecanismos de evasão anteriores que focavam mais na execução em ambientes controlados.

O Gaslight demonstra que as táticas de evasão de malware estão se adaptando à proliferação de ferramentas de IA na cibersegurança. Ao atacar as próprias ferramentas que analisam ameaças, cibercriminosos buscam comprometer a eficiência da detecção e análise de novas variantes de malware. Para empresas e governos, isso significa que a dependência crescente de IA na defesa exige uma reavaliação das estratégias de segurança. É crucial não apenas aprimorar os modelos de IA, mas também desenvolver métodos para validar a integridade do processo analítico e proteger os próprios sistemas de análise contra manipulações, garantindo que as ameaças reais não passem despercebidas.