Logo TecMundo
Segurança

Vírus para Mac usa técnica inédita para evitar detecção e permitir invasão silenciosa

Pesquisadores da SentinelLABS identificaram um implante em Rust que usa mensagens falsas para manipular sistemas de inteligência artificial usados na triagem de arquivos suspeitos.

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule24/06/2026, às 20:00

Pesquisadores da empresa de cibersegurança SentinelLABS identificaram um novo vírus para computadores Mac que usa uma tática inédita para escapar da detecção. O programa malicioso, batizado de macOS.Gaslight, foi projetado para confundir sistemas de inteligência artificial usados por analistas de segurança na hora de inspecionar arquivos suspeitos.

A Apple já atualizou sua ferramenta de proteção interna, o XProtect, para detectar o arquivo. Mesmo assim, o vírus não era identificado por outros programas antivírus no momento da descoberta.

smart_display

Nossos vídeos em destaque

O que é e de onde veio

O macOS.Gaslight é um tipo de programa chamado infostealer, ou seja, um software criado para roubar informações do computador da vítima. Ele foi desenvolvido em Rust, uma linguagem de programação moderna, e é voltado exclusivamente para Macs.

macOS.Gaslight.png
O arquivo malicioso passou sem detecção por 61 ferramentas de antivírus cadastradas no VirusTotal no momento da análise. A pontuação zero é resultado direto da estratégia do vírus de evitar strings e padrões que antivírus tradicionais reconheceriam como ameaça. Imagem: Sentinel One.

Os pesquisadores atribuem o vírus com alto grau de confiança a um grupo de hackers alinhado à Coreia do Norte. Isso porque a Apple classificou o arquivo sob uma família de ameaças chamada BONZAI, que a SentinelLABS já associou a atividades norte-coreanas.

Leia Mais
Anatel lança ferramenta para rastrear bloqueios de TV Box no Brasil

O golpe contra a inteligência artificial

A característica mais incomum do vírus é um bloco de texto de 3,5 KB embutido no próprio arquivo. Esse bloco contém 38 mensagens falsas que imitam o formato de um sistema de análise automatizada por IA.

Essas mensagens fabricadas simulam erros técnicos graves, como falta de memória, disco cheio e falhas repetidas de operação. A ideia é fazer com que o sistema de IA que está analisando o arquivo acredite que algo deu errado e abandone a investigação antes de concluí-la.

macOS.Gaslight (1).png
Trecho do módulo de coleta em Python embutido no implante, mostrando as funções responsáveis por capturar dados do navegador, histórico do terminal, lista de aplicativos, processos ativos e o arquivo login.keychain-db, onde o macOS armazena senhas salvas. Todos os dados coletados são compactados e enviados ao operador via Telegram. Imagem: Sentinel One.

Isso é o que os pesquisadores chamam de prompt injection, basicamente uma tentativa de manipular uma IA inserindo instruções disfarçadas dentro dos dados que ela está processando. 

Como o vírus se comunica com os hackers

O programa usa o Telegram, aplicativo de mensagens popular mundialmente, para receber ordens e enviar dados roubados. Isso porque o Telegram oferece uma API gratuita que permite criar bots, e os hackers usaram esse recurso para montar um canal de comando.

Leia Mais
Japão cria drones de guerra feitos de papelão que voam a mais de 100 km/h

Para dificultar ainda mais a detecção, toda a comunicação é criptografada com um sistema chamado AES-GCM e o tráfego passa por um certificado personalizado. Isso impede que ferramentas tradicionais de monitoramento de rede consigam ler o conteúdo das mensagens.

macOS.Gaslight (2).png
Visão do código interno do vírus mostrando como ele lida com respostas de erro da API do Telegram. Strings como "Forbidden: bot was blocked" e "Invalid bot token" revelam a lógica de autenticação do canal de comando, que usa o próprio sistema de erros do Telegram para controlar instâncias ativas do implante. Imagem: Sentinel One.

Outro detalhe técnico relevante é que o vírus apaga automaticamente o token do bot do Telegram em seus próprios registros de atividade. Isso significa que mesmo que alguém capture os logs do programa em funcionamento, não conseguirá encontrar a chave de acesso usada pelos operadores.

O que o vírus faz na máquina

Uma vez instalado, o macOS.Gaslight roda em segundo plano e dá aos atacantes controle remoto sobre o computador. Eles podem executar comandos, encerrar processos, enviar e receber arquivos e até abrir um terminal interativo diretamente pela conversa no Telegram.

Para garantir que o computador não entre em modo de economia de energia e interrompa a comunicação, o vírus usa um recurso do próprio macOS que impede o sistema de dormir.
Além disso, o programa instala um módulo em Python capaz de coletar dados do navegador, histórico de comandos do terminal, lista de aplicativos instalados, processos em execução e uma cópia do arquivo login.keychain-db, que é onde o Mac armazena senhas salvas.

Leia Mais
Homem filma mulher com óculos e exige dinheiro para apagar vídeo das redes
macOS.Gaslight (3).png
Parte do bloco de 3,5 KB com 38 mensagens fabricadas que o vírus embute em si mesmo. As mensagens simulam falhas técnicas reais, como processos encerrados por falta de memória, logs lotando o disco e falhas de build em pipelines de desenvolvimento. O objetivo é fazer um sistema de IA acreditar que a análise foi interrompida por erros legítimos. Imagem: Sentinel One.

Para persistir no computador mesmo após reinicializações, o vírus cria um arquivo de configuração disfarçado de serviço legítimo da Apple, usando o identificador com.apple.system.services.activity. Esse tipo de camuflagem dentro do domínio oficial da Apple é uma tática recorrente em malwares ligados à Coreia do Norte.

O que isso significa para a segurança digital

O macOS.Gaslight representa uma evolução nas táticas de evasão. Vírus que tentam enganar ferramentas de IA ainda são raros, mas a tendência é que essa abordagem se torne mais comum à medida que analistas de segurança adotam sistemas automatizados com inteligência artificial.

A recomendação dos pesquisadores é que qualquer pipeline de análise automatizada trate o conteúdo dos arquivos inspecionados como dado potencialmente hostil, nunca como instrução confiável. 

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

forum

E você, o que tem a dizer?

local_mall

Ofertas TecMundo

Atualizado há 5 dias
Fone Bluetooth Samsung Galaxy Buds Core
17% off

Garanta já o seu!

Fone Bluetooth Samsung Galaxy Buds Core

R$ 207,00

Ofertas 7.7 shopee.com.brnew_releases
Carregador Portátil i2GO Pocket, 5000mAh
45% off

Imperdível!

Carregador Portátil i2GO Pocket, 5000mAh

R$ 93,20

Ofertas 7.7 shopee.com.brnew_releases
Caixa de Som Bluetooth JBL Flip 7
15% off

Garanta já o seu!

Caixa de Som Bluetooth JBL Flip 7

R$ 597,91

Ofertas 7.7 shopee.com.brnew_releases
Fone Bluetooth HUAWEI FreeBuds Pro 5
55% off

Aproveite!

Fone Bluetooth HUAWEI FreeBuds Pro 5

R$ 894,08

Ofertas 7.7 shopee.com.brnew_releases
Liquidificador Mondial Turbo Power L99-FR
25% off

Imperdível!

Liquidificador Mondial Turbo Power L99-FR

R$ 82,63

Ofertas 7.7 shopee.com.brnew_releases
Fritadeira Elétrica Air Fryer HQ HF-2055, 2.8L
33% off

Imperdível!

Fritadeira Elétrica Air Fryer HQ HF-2055, 2.8L

R$ 119,00

Eletro casasbahia.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA