Вредоносный код содержит десятки ложных системных уведомлений о сбоях, переполнении диска или нехватке памяти. Эти сообщения призваны спровоцировать ИИ-инструменты на преждевременное завершение анализа или полный отказ от исследования образца. По данным специалистов SentinelOne, такая тактика ориентирована на растущее число автоматизированных систем, которые эксперты применяют для выявления угроз.
Gaslight управляется через Telegram Bot API, что позволяет злоумышленникам удаленно запускать команды в оболочке, выгружать файлы и завершать процессы. Вирус собирает историю Terminal, данные из связки ключей macOS, а также пароли и историю посещений из браузеров Chrome, Brave, Firefox и Safari. Чтобы усложнить обнаружение, разработчики решили не хранить конфигурацию бота в коде: она передается в процессе работы, а токен скрывается в журналах самой программы.
Комментарии (0)
Пока нет комментариев. Будьте первым!