- Pesquisadores da SentinelLabs identificaram o macOS.Gaslight, um malware para Mac em Rust que rouba dados e tenta burlar a triagem com IA.
- A Apple atualizou o XProtect para detectar o arquivo, mas outros antivírus não o identificaram na época.
- O vírus é classificado como infostealer e há alta confiança de ligação com um grupo alinhado à Coreia do Norte, sob a família BONZAI segundo a Apple.
- A técnica incomum envolve um bloco de 3,5 kilobytes com 38 mensagens falsas que simulam falhas de IA para interromper a análise do sistema.
- A comunicação com os operadores ocorre pelo Telegram, com criptografia AES-GCM; o malware também apaga o token do bot para dificultar a detecção e usa persistência disfarçada como serviço da Apple.
O grupo de pesquisadores da SentinelLABS identificou um novo vírus para Mac, batizado de macOS.Gaslight. O implante usa uma tática inédita para escapar da detecção e manter a invasão silenciosa. A descoberta ocorreu após análise de um arquivo suspeito.
Segundo os pesquisadores, o malware é um infostealer desenvolvido em Rust, exclusivo para macOS. A Apple já atualizou o XProtect para tentar detectar o arquivo, mas, no momento da identificação, outros antivírus não o识 detectavam.
Origem e atribuição
A empresa atribui alto grau de confiança a um grupo de hackers com ligações à Coreia do Norte. A classificação da Apple como BONZAI, já associada a atividades norte-coreanas, reforça a linha de atribuição apresentada.
Como funciona o ataque
O aspecto mais incomum é um bloco de 3,5 KB embutido no arquivo, com 38 mensagens falsas que simulam falhas de IA. O objetivo é induzir o sistema de análise automatizada a interromper a investigação.
Trecho do módulo de coleta em Python embutido no implante expõe funções para capturar dados do navegador, histórico do terminal, lista de apps, processos ativos e o login.keychain-db. Os dados são compactados e enviados ao operador pelo Telegram.
O prompt injection é utilizado para disfarçar instruções dentro dos dados processados pela IA, manipulando respostas de erro e confundindo a análise automatizada.
Comunicação com os operadores
O vírus usa o Telegram para receber ordens e enviar dados roubados. A API gratuita facilita a criação de bots, usados como canal de comando. Todo o tráfego é criptografado com AES-GCM e passa por certificado personalizado.
Imagens do código mostram como o malware lida com respostas da API do Telegram. erros do bot, como Forbidden ou Invalid bot token, aparecem na lógica de autenticação do canal.
Persistência e camuflagem
Para permanecer ativo após reinicializações, o malware cria um arquivo de configuração disfarçado de serviço Apple, com o identificador com.apple.system.services.activity. A camuflagem recorre a domínio oficial da Apple para dificultar a detecção.
Eficiência do ataque e recomendações
O macOS.Gaslight representa evolução na evasão por IA. Analistas afirmam que esse tipo de abordagem tende a aumentar conforme ferramentas automatizadas ganham uso. A recomendação é tratar todo conteúdo inspecionado como potencialmente hostil.
Entre na conversa da comunidade