Gaslight è un nuovo malware per macOS basato su Rust che combina funzioni di impianto persistente e information stealer con una tecnica sempre più rilevante nella sicurezza AI: la prompt injection. Invece di colpire solo sandbox e strumenti di analisi tradizionali, Gaslight prova a confondere i flussi di triage assistiti da modelli linguistici, spingendo l’agente di analisi a interrompere, rifiutare o troncare la valutazione del campione.
La catena di comando e controllo utilizza la Telegram Bot API. Il malware entra in un ciclo di polling e permette all’operatore di impartire istruzioni tramite una shell interattiva, ricevendo in risposta l’output dei comandi eseguiti. È presente anche una logica di conflitto: se due istanze con lo stesso bot token interrogano Telegram nello stesso momento, la seconda riceve una risposta di tipo Conflict e termina l’esecuzione, riducendo rumore e collisioni operative.
Comandi della shell e controllo dell’impianto
La shell espone comandi essenziali per mantenere controllo e operare sul sistema infetto. Tra questi ci sono:
- Help e identificazione dell’impianto
- Esecuzione di comandi tramite execvp
- Terminazione di processi tramite PID
- Esfiltrazione di file sfruttando il meccanismo attach di Telegram
- Arresto dell’impianto
Sono emersi indizi anche su un possibile comando aggiuntivo chiamato focus, ma la sua funzione non è ancora chiara.
Persistenza su macOS
Per la persistenza su macOS, Gaslight impiega un LaunchAgent con una label che imita componenti di sistema, ad esempio com.apple.system.services.activity, definita nel file plist. Questo approccio aiuta a mascherare la presenza del malware tra i job legittimi.
Furto dati ed esfiltrazione
La componente di furto dati include uno script Python in Base64 che raccoglie:
- Cronologia dei comandi del Terminale
- Lista delle applicazioni installate
- Processi in esecuzione
- Profilo hardware e software
- Database del Keychain macOS
- Dati dai browser: Chrome, Brave, Firefox e Safari
I risultati vengono compressi in un archivio ZIP e poi caricati su Telegram.
Un aspetto interessante è che token del bot, chat ID e configurazioni operative non sono hard coded, ma forniti a runtime. Inoltre l’impianto tenta di auto-redigere il proprio bot token nell’output di esecuzione, rendendo più difficile recuperarlo da log o crash dump.
Prompt injection contro pipeline di analisi basate su LLM
Il cuore della prompt injection è un blocco Markdown con decine di falsi messaggi di sistema che simulano errori come scadenza token, out of memory, disco pieno e fallimenti ripetuti, includendo anche avvisi ingannevoli su vulnerabilità e flag di analisi statica. L’obiettivo è colpire la percezione dell’analista e dei suoi strumenti AI, trasformando i pipeline LLM in un nuovo punto di attacco.