Pesquisadores da empresa de cibersegurança SentinelLABS identificaram um novo vírus para computadores Mac que usa uma tática inédita para escapar da detecção. O programa malicioso, batizado de macOS.Gaslight, foi projetado para confundir sistemas de inteligência artificial usados por analistas de segurança na hora de inspecionar arquivos suspeitos.A Apple já atualizou sua ferramenta de proteção interna, o XProtect, para detectar o arquivo. Mesmo assim, o vírus não era identificado por outros programas antivírus no momento da descoberta.O que é e de onde veioO macOS.Gaslight é um tipo de programa chamado infostealer, ou seja, um software criado para roubar informações do computador da vítima. Ele foi desenvolvido em Rust, uma linguagem de programação moderna, e é voltado exclusivamente para Macs.O arquivo malicioso passou sem detecção por 61 ferramentas de antivírus cadastradas no VirusTotal no momento da análise. A pontuação zero é resultado direto da estratégia do vírus de evitar strings e padrões que antivírus tradicionais reconheceriam como ameaça. Imagem: Sentinel One.Os pesquisadores atribuem o vírus com alto grau de confiança a um grupo de hackers alinhado à Coreia do Norte. Isso porque a Apple classificou o arquivo sob uma família de ameaças chamada BONZAI, que a SentinelLABS já associou a atividades norte-coreanas.O golpe contra a inteligência artificialA característica mais incomum do vírus é um bloco de texto de 3,5 KB embutido no próprio arquivo. Esse bloco contém 38 mensagens falsas que imitam o formato de um sistema de análise automatizada por IA.Essas mensagens fabricadas simulam erros técnicos graves, como falta de memória, disco cheio e falhas repetidas de operação. A ideia é fazer com que o sistema de IA que está analisando o arquivo acredite que algo deu errado e abandone a investigação antes de concluí-la.Trecho do módulo de coleta em Python embutido no implante, mostrando as funções responsáveis por capturar dados do navegador, histórico do terminal, lista de aplicativos, processos ativos e o arquivo login.keychain-db, onde o macOS armazena senhas salvas. Todos os dados coletados são compactados e enviados ao operador via Telegram. Imagem: Sentinel One.Isso é o que os pesquisadores chamam de prompt injection, basicamente uma tentativa de manipular uma IA inserindo instruções disfarçadas dentro dos dados que ela está processando. Como o vírus se comunica com os hackersO programa usa o Telegram, aplicativo de mensagens popular mundialmente, para receber ordens e enviar dados roubados. Isso porque o Telegram oferece uma API gratuita que permite criar bots, e os hackers usaram esse recurso para montar um canal de comando.Para dificultar ainda mais a detecção, toda a comunicação é criptografada com um sistema chamado AES-GCM e o tráfego passa por um certificado personalizado. Isso impede que ferramentas tradicionais de monitoramento de rede consigam ler o conteúdo das mensagens.Visão do código interno do vírus mostrando como ele lida com respostas de erro da API do Telegram. Strings como "Forbidden: bot was blocked" e "Invalid bot token" revelam a lógica de autenticação do canal de comando, que usa o próprio sistema de erros do Telegram para controlar instâncias ativas do implante. Imagem: Sentinel One.Outro detalhe técnico relevante é que o vírus apaga automaticamente o token do bot do Telegram em seus próprios registros de atividade. Isso significa que mesmo que alguém capture os logs do programa em funcionamento, não conseguirá encontrar a chave de acesso usada pelos operadores.O que o vírus faz na máquinaUma vez instalado, o macOS.Gaslight roda em segundo plano e dá aos atacantes controle remoto sobre o computador. Eles podem executar comandos, encerrar processos, enviar e receber arquivos e até abrir um terminal interativo diretamente pela conversa no Telegram.Para garantir que o computador não entre em modo de economia de energia e interrompa a comunicação, o vírus usa um recurso do próprio macOS que impede o sistema de dormir.Além disso, o programa instala um módulo em Python capaz de coletar dados do navegador, histórico de comandos do terminal, lista de aplicativos instalados, processos em execução e uma cópia do arquivo login.keychain-db, que é onde o Mac armazena senhas salvas.Parte do bloco de 3,5 KB com 38 mensagens fabricadas que o vírus embute em si mesmo. As mensagens simulam falhas técnicas reais, como processos encerrados por falta de memória, logs lotando o disco e falhas de build em pipelines de desenvolvimento. O objetivo é fazer um sistema de IA acreditar que a análise foi interrompida por erros legítimos. Imagem: Sentinel One.Para persistir no computador mesmo após reinicializações, o vírus cria um arquivo de configuração disfarçado de serviço legítimo da Apple, usando o identificador com.apple.system.services.activity. Esse tipo de camuflagem dentro do domínio oficial da Apple é uma tática recorrente em malwares ligados à Coreia do Norte.O que isso significa para a segurança digitalO macOS.Gaslight representa uma evolução nas táticas de evasão. Vírus que tentam enganar ferramentas de IA ainda são raros, mas a tendência é que essa abordagem se torne mais comum à medida que analistas de segurança adotam sistemas automatizados com inteligência artificial.A recomendação dos pesquisadores é que qualquer pipeline de análise automatizada trate o conteúdo dos arquivos inspecionados como dado potencialmente hostil, nunca como instrução confiável. Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.