Em Alta Copa do Mundo NotíciasAcontecimentos internacionaisPessoasPolíticaConflitos

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Vírus para Mac usa técnica inédita para evitar detecção

Vírus para Mac usa técnica inédita para enganar IA na triagem de arquivos, recebendo ordens e enviando dados via Telegram com criptografia AES-GCM

Vírus para Mac usa técnica inédita para evitar detecção e permitir invasão silenciosa
0:00
Carregando...
0:00
  • Pesquisadores da SentinelLabs identificaram o macOS.Gaslight, um malware para Mac em Rust que rouba dados e tenta burlar a triagem com IA.
  • A Apple atualizou o XProtect para detectar o arquivo, mas outros antivírus não o identificaram na época.
  • O vírus é classificado como infostealer e há alta confiança de ligação com um grupo alinhado à Coreia do Norte, sob a família BONZAI segundo a Apple.
  • A técnica incomum envolve um bloco de 3,5 kilobytes com 38 mensagens falsas que simulam falhas de IA para interromper a análise do sistema.
  • A comunicação com os operadores ocorre pelo Telegram, com criptografia AES-GCM; o malware também apaga o token do bot para dificultar a detecção e usa persistência disfarçada como serviço da Apple.

O grupo de pesquisadores da SentinelLABS identificou um novo vírus para Mac, batizado de macOS.Gaslight. O implante usa uma tática inédita para escapar da detecção e manter a invasão silenciosa. A descoberta ocorreu após análise de um arquivo suspeito.

Segundo os pesquisadores, o malware é um infostealer desenvolvido em Rust, exclusivo para macOS. A Apple já atualizou o XProtect para tentar detectar o arquivo, mas, no momento da identificação, outros antivírus não o识 detectavam.

Origem e atribuição

A empresa atribui alto grau de confiança a um grupo de hackers com ligações à Coreia do Norte. A classificação da Apple como BONZAI, já associada a atividades norte-coreanas, reforça a linha de atribuição apresentada.

Como funciona o ataque

O aspecto mais incomum é um bloco de 3,5 KB embutido no arquivo, com 38 mensagens falsas que simulam falhas de IA. O objetivo é induzir o sistema de análise automatizada a interromper a investigação.

Trecho do módulo de coleta em Python embutido no implante expõe funções para capturar dados do navegador, histórico do terminal, lista de apps, processos ativos e o login.keychain-db. Os dados são compactados e enviados ao operador pelo Telegram.

O prompt injection é utilizado para disfarçar instruções dentro dos dados processados pela IA, manipulando respostas de erro e confundindo a análise automatizada.

Comunicação com os operadores

O vírus usa o Telegram para receber ordens e enviar dados roubados. A API gratuita facilita a criação de bots, usados como canal de comando. Todo o tráfego é criptografado com AES-GCM e passa por certificado personalizado.

Imagens do código mostram como o malware lida com respostas da API do Telegram. erros do bot, como Forbidden ou Invalid bot token, aparecem na lógica de autenticação do canal.

Persistência e camuflagem

Para permanecer ativo após reinicializações, o malware cria um arquivo de configuração disfarçado de serviço Apple, com o identificador com.apple.system.services.activity. A camuflagem recorre a domínio oficial da Apple para dificultar a detecção.

Eficiência do ataque e recomendações

O macOS.Gaslight representa evolução na evasão por IA. Analistas afirmam que esse tipo de abordagem tende a aumentar conforme ferramentas automatizadas ganham uso. A recomendação é tratar todo conteúdo inspecionado como potencialmente hostil.

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais