{"id":1034603,"date":"2026-06-24T17:00:00","date_gmt":"2026-06-24T20:00:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/06\/24\/virus-para-mac-usa-tecnica-inedita-para-evitar-deteccao\/"},"modified":"2026-06-24T17:00:00","modified_gmt":"2026-06-24T20:00:00","slug":"virus-para-mac-usa-tecnica-inedita-para-evitar-deteccao","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/ciencia\/2026\/06\/24\/virus-para-mac-usa-tecnica-inedita-para-evitar-deteccao\/","title":{"rendered":"V\u00edrus para Mac usa t\u00e9cnica in\u00e9dita para evitar detec\u00e7\u00e3o"},"content":{"rendered":"<p>O grupo de pesquisadores da SentinelLABS identificou um novo v\u00edrus para Mac, batizado de macOS.Gaslight. O implante usa uma t\u00e1tica in\u00e9dita para escapar da detec\u00e7\u00e3o e manter a invas\u00e3o silenciosa. A descoberta ocorreu ap\u00f3s an\u00e1lise de um arquivo suspeito.<\/p>\n<p>Segundo os pesquisadores, o malware \u00e9 um infostealer desenvolvido em Rust, exclusivo para macOS. A Apple j\u00e1 atualizou o XProtect para tentar detectar o arquivo, mas, no momento da identifica\u00e7\u00e3o, outros antiv\u00edrus n\u00e3o o\u8bc6 detectavam.<\/p>\n<h3>Origem e atribui\u00e7\u00e3o<\/h3>\n<p>A empresa atribui alto grau de confian\u00e7a a um grupo de hackers com liga\u00e7\u00f5es \u00e0 Coreia do Norte. A classifica\u00e7\u00e3o da Apple como BONZAI, j\u00e1 associada a atividades norte-coreanas, refor\u00e7a a linha de atribui\u00e7\u00e3o apresentada.<\/p>\n<h3>Como funciona o ataque<\/h3>\n<p>O aspecto mais incomum \u00e9 um bloco de 3,5 KB embutido no arquivo, com 38 mensagens falsas que simulam falhas de IA. O objetivo \u00e9 induzir o sistema de an\u00e1lise automatizada a interromper a investiga\u00e7\u00e3o.<\/p>\n<p>Trecho do m\u00f3dulo de coleta em Python embutido no implante exp\u00f5e fun\u00e7\u00f5es para capturar dados do navegador, hist\u00f3rico do terminal, lista de apps, processos ativos e o login.keychain-db. Os dados s\u00e3o compactados e enviados ao operador pelo Telegram.<\/p>\n<p>O prompt injection \u00e9 utilizado para disfar\u00e7ar instru\u00e7\u00f5es dentro dos dados processados pela IA, manipulando respostas de erro e confundindo a an\u00e1lise automatizada.<\/p>\n<h3>Comunica\u00e7\u00e3o com os operadores<\/h3>\n<p>O v\u00edrus usa o Telegram para receber ordens e enviar dados roubados. A API gratuita facilita a cria\u00e7\u00e3o de bots, usados como canal de comando. Todo o tr\u00e1fego \u00e9 criptografado com AES-GCM e passa por certificado personalizado.<\/p>\n<p>Imagens do c\u00f3digo mostram como o malware lida com respostas da API do Telegram. erros do bot, como Forbidden ou Invalid bot token, aparecem na l\u00f3gica de autentica\u00e7\u00e3o do canal.<\/p>\n<h3>Persist\u00eancia e camuflagem<\/h3>\n<p>Para permanecer ativo ap\u00f3s reinicializa\u00e7\u00f5es, o malware cria um arquivo de configura\u00e7\u00e3o disfar\u00e7ado de servi\u00e7o Apple, com o identificador com.apple.system.services.activity. A camuflagem recorre a dom\u00ednio oficial da Apple para dificultar a detec\u00e7\u00e3o.<\/p>\n<h3>Efici\u00eancia do ataque e recomenda\u00e7\u00f5es<\/h3>\n<p>O macOS.Gaslight representa evolu\u00e7\u00e3o na evas\u00e3o por IA. Analistas afirmam que esse tipo de abordagem tende a aumentar conforme ferramentas automatizadas ganham uso. A recomenda\u00e7\u00e3o \u00e9 tratar todo conte\u00fado inspecionado como potencialmente hostil.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Pesquisadores da SentinelLabs identificaram o macOS.Gaslight, um malware para Mac em Rust que rouba dados e tenta burlar a triagem com IA.<\/li>\n<li>A Apple atualizou o XProtect para detectar o arquivo, mas outros antiv\u00edrus n\u00e3o o identificaram na \u00e9poca.<\/li>\n<li>O v\u00edrus \u00e9 classificado como infostealer e h\u00e1 alta confian\u00e7a de liga\u00e7\u00e3o com um grupo alinhado \u00e0 Coreia do Norte, sob a fam\u00edlia BONZAI segundo a Apple.<\/li>\n<li>A t\u00e9cnica incomum envolve um bloco de 3,5 kilobytes com 38 mensagens falsas que simulam falhas de IA para interromper a an\u00e1lise do sistema.<\/li>\n<li>A comunica\u00e7\u00e3o com os operadores ocorre pelo Telegram, com criptografia AES-GCM; o malware tamb\u00e9m apaga o token do bot para dificultar a detec\u00e7\u00e3o e usa persist\u00eancia disfar\u00e7ada como servi\u00e7o da Apple.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":1034638,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"V\u00edrus para Mac usa t\u00e9cnica in\u00e9dita para enganar IA na triagem de arquivos, recebendo ordens e enviando dados via Telegram com criptografia AES-GCM","footnotes":""},"categories":[296,1],"tags":[104,85,86,189],"class_list":["post-1034603","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia","category-noticias","tag-apps","tag-inovacao","tag-internet","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/1034603","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=1034603"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/1034603\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/1034638"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=1034603"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=1034603"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=1034603"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}