Пользователи Mac стали жертвами новой вредоносной кампании с использованием поддельного приложения Grok, которое маскируется под ИИ-чатбот от компании xAI. Об этом пишет 9to5mac со ссылкой на специалистов по кибербезопасности из компании Mosyle.
Злоумышленники распространяют вредонос через фейковый сайт, который визуально очень похож на официальный Grok. После запуска приложение ведет себя как обычная программа, однако в фоновом режиме запускает скрытые процессы. Во время установки оно запрашивает системный пароль macOS, что позволяет вредоносному ПО обойти карантин, закрепиться в системе и остаться незаметным как для пользователя, так и для антивирусов.
После успешной установки вредонос разворачивает скрытый майнер криптовалюты Monero. При этом его работа максимально замаскирована:
- Майнинг начинается только при отсутствии активности пользователя более минуты;
- При возвращении пользователя за компьютер процесс останавливается;
- Вредонос маскируется под системные процессы macOS, такие как
kernel_taskилиlaunchd.
Отдельное внимание эксперты Mosyle обратили на код вредоносного ПО. В нем обнаружены характерные признаки использования генеративного ИИ — повторяющаяся логика, избыточные комментарии, а также смешение английского и бразильского варианта португальского языка.
Чтобы защититься от майнера, специалисты рекомендуют не загружать приложения со сторонних сайтов, а использовать только App Store и официальные ресурсы. Кроме того, нужно с осторожностью относиться к запросам системного пароля.
По мнению экспертов, основную опасность представляет не сам факт подделки Grok, а простота реализации подобных атак с помощью ИИ. Фейковые приложения с пометкой «AI» вызывают доверие и любопытство у пользователей, чем все чаще пользуются киберпреступники.
Комментарии в Телеграм