تثير برمجية Gaslight على macOS قلقاً جديداً بعد اكتشافها مزودةً بخدعة Prompt Injection تربك أدوات التحليل المعتمدة على الذكاء الاصطناعي وتدفعها لإيقاف الفحص أو رفضه.
ما هي برمجية Gaslight على macOS ولماذا تثير القلق؟
التهديد الجديد عبارة عن زرعة خبيثة مكتوبة بلغة Rust وتستهدف أجهزة macOS، مع قدرات تجمع بين التجسس وسرقة البيانات والحفاظ على الوصول المستمر إلى الجهاز المصاب. اللافت هنا أن البرمجية لا تهاجم النظام فقط، بل تحاول أيضاً التلاعب بالأدوات الذكية التي يستخدمها الباحثون الأمنيون أثناء التحليل.
بدلاً من الاكتفاء بإخفاء النشاط أو تعطيل برامج الحماية، تعتمد Gaslight على رسائل مضللة توحي بوجود أعطال داخلية أو فشل في الجلسة التحليلية. ووفق متابعة تيكبامين، فهذا الأسلوب يفتح باباً جديداً في سباق الهجوم والدفاع داخل مجال الأمن الرقمي.
كيف تستخدم برمجية Gaslight الذكاء الاصطناعي ضد المحللين؟
تعتمد البرمجية على حمولة Prompt Injection مدمجة داخل العينة نفسها، وهدفها التشويش على وكيل التحليل المدعوم بنماذج اللغة الكبيرة. عملياً، تحاول إقناع الأداة بأن البيئة غير سليمة أو أن الجلسة تعرضت للفشل، ما قد يؤدي إلى وقف الفحص قبل استخراج المؤشرات المهمة.
ما الذي يجعل هذا الأسلوب مختلفاً؟
- استهداف إدراك أداة التحليل بدلاً من استهداف نظام التشغيل مباشرة
- إرسال رسائل مزيفة توحي بوجود أخطاء نظام حرجة
- تقليل فرص كشف العينة بسرعة داخل بيئات الفحص الذكي
- استغلال الاعتماد المتزايد على الذكاء الاصطناعي في triage الأمني
هذا التطور يعكس تغيراً واضحاً في تكتيكات البرمجيات الخبيثة، إذ لم تعد المراوغة مقتصرة على تجاوز sandbox أو مضادات الفيروسات، بل امتدت إلى تضليل التحليل الآلي نفسه.
كيف تعمل البرمجية داخل الجهاز المصاب؟
تستخدم Gaslight قناة تحكم وسيطرة عبر واجهة Telegram Bot API، حيث تدخل في حلقة polling مستمرة لاستقبال الأوامر من المشغل وإرجاع نتائج التنفيذ عبر shell تفاعلي. وإذا حاولت نسختان استخدام الرمز نفسه في الوقت ذاته، يتم إنهاء النسخة الثانية تلقائياً بعد ظهور تعارض.
- قناة C2 عبر بوت تيليجرام
- تنفيذ أوامر عن بُعد من خلال shell تفاعلي
- آلية بقاء عبر LaunchAgent باسم قريب من خدمات النظام
- إمكانية الحفاظ على موطئ قدم دائم داخل macOS
كما رُصدت مؤشرات على وجود أمر سابع إضافي يحمل اسم focus، لكن وظيفته لم تُحسم بعد. هذه النقطة توحي بأن العينة قد تكون جزءاً من منصة أوسع أو ما تزال قيد التطوير.
ما البيانات التي تسرقها Gaslight من أجهزة macOS؟
تضم البرمجية سكربت Python مشفراً بـBase64 مهمته جمع كم كبير من المعلومات الحساسة، ثم ضغطها داخل ملف ZIP قبل رفعها إلى تيليجرام. ويزيد ذلك من خطورة الإصابة لأن البيانات المستهدفة تشمل آثار الاستخدام اليومي وتفاصيل النظام والمتصفحات.
- سجل أوامر Terminal
- قائمة التطبيقات المثبتة
- العمليات الجارية على الجهاز
- معلومات العتاد والبرمجيات في macOS
- قاعدة بيانات Keychain
- بيانات من Chrome وBrave وFirefox وSafari
لماذا يصعب تتبع المشغل؟
المثير أن إعدادات التشغيل الحساسة، مثل رمز البوت ومعرّف غرفة الدردشة، لا تكون ثابتة داخل العينة، بل يتم تمريرها وقت التشغيل. كما تحاول البرمجية إخفاء رمز تيليجرام من سجلاتها الخاصة، ما يصعّب تعقب البنية التشغيلية للمهاجمين.
في النهاية، تؤكد برمجية Gaslight أن مشهد التهديدات على macOS يدخل مرحلة أكثر تعقيداً، خاصة مع توظيف الذكاء الاصطناعي كسلاح خداعي مضاد للتحليل. ولهذا تنصح تيكبامين بعدم الاعتماد الكامل على أدوات الفحص الآلي وحدها عند التعامل مع عينات عالية الخطورة.
