Artigos

Conheça o Gaslight, o novo malware para macOS

Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Seguir

O malware Gaslight para macOS representa uma nova etapa na evolução das ameaças digitais. Diferentemente de campanhas tradicionais focadas apenas no roubo de dados ou no acesso remoto a dispositivos, essa nova ameaça chamou a atenção dos pesquisadores por incorporar uma técnica inovadora: o uso de injeção de prompt para confundir sistemas de análise baseados em inteligência artificial (IA).

Descoberto por pesquisadores da SentinelOne, o Gaslight foi atribuído a operadores ligados à Coreia do Norte e demonstra como grupos avançados estão adaptando suas ferramentas para enfrentar um cenário em que analistas e empresas dependem cada vez mais de modelos de linguagem (LLMs) para triagem de malware, resposta a incidentes e investigação de ameaças.

Mais do que um simples ladrão de informações, o Gaslight evidencia uma mudança estratégica importante. Se antes os criminosos buscavam apenas evitar antivírus e mecanismos de detecção convencionais, agora eles também tentam manipular os próprios sistemas de defesa alimentados por IA.

Como funciona o Gaslight e o truque da injeção de prompt

O aspecto mais inovador do malware Gaslight para macOS é sua capacidade de interferir diretamente no processo de análise realizado por ferramentas baseadas em modelos de linguagem.

Segundo os pesquisadores, o malware contém dezenas de mensagens cuidadosamente preparadas para explorar o comportamento de sistemas automatizados que utilizam IA para interpretar códigos suspeitos. Essas mensagens não têm a função de executar ações maliciosas no sistema operacional. Em vez disso, foram criadas para influenciar a interpretação feita por um modelo de linguagem.

Os operadores esconderam aproximadamente 38 mensagens falsas de sistema dentro de blocos Markdown. Essas mensagens simulam condições críticas, incluindo:

  • Falhas de memória;
  • Erros de armazenamento;
  • Espaço em disco insuficiente;
  • Tokens expirados;
  • Problemas de autenticação;
  • Erros internos de processamento.

O objetivo é fazer com que o sistema de IA interprete o código de forma incorreta ou interrompa a análise antes de identificar o comportamento malicioso real.

Essa técnica é conhecida como prompt injection, um método originalmente discutido em pesquisas sobre segurança de IA, mas que agora começa a ser utilizado ativamente em campanhas maliciosas reais.

Imagem com a maçã da Apple

Manipulando a percepção do analista automatizado

A descoberta reforça um alerta crescente dentro da comunidade de segurança: os criminosos já entenderam como funcionam os fluxos modernos de investigação.

De acordo com Phil Stokes, pesquisador da SentinelOne, o ataque não busca necessariamente enganar um especialista humano experiente. O alvo principal é o pipeline automatizado de triagem assistido por LLMs, que está se tornando comum em equipes de segurança.

Na prática, o malware tenta explorar uma fraqueza operacional. Muitas empresas já utilizam IA para analisar amostras suspeitas, resumir comportamentos e gerar relatórios preliminares. Se o modelo for induzido a interpretar informações falsas como legítimas, a investigação pode ser retardada ou comprometida.

Isso transforma a IA em um novo campo de batalha dentro da cibersegurança moderna.

Anatomia técnica: Rust, Python e o controle via Telegram

Além do uso de engenharia social contra sistemas de IA, o malware Gaslight para macOS apresenta uma arquitetura técnica sofisticada.

O componente principal foi desenvolvido em Rust, linguagem que vem sendo amplamente adotada por desenvolvedores legítimos devido à sua segurança de memória e desempenho. Nos últimos anos, porém, diversos grupos criminosos também passaram a utilizá-la para dificultar análises e aumentar a portabilidade de seus malwares.

O Gaslight utiliza ainda um script em Python, relativamente pequeno, com cerca de 6,6 KB, mas altamente especializado na coleta e exfiltração de informações.

Essa combinação entre Rust e Python oferece vantagens importantes aos operadores:

  • Código principal robusto e eficiente;
  • Facilidade de manutenção;
  • Capacidade de atualização rápida;
  • Menor detecção por assinaturas tradicionais;
  • Flexibilidade para adicionar novos módulos.

Outro elemento que chama atenção é o uso da API de bots do Telegram como canal de comando e controle (C2), uma prática que vem crescendo entre grupos de espionagem e cibercrime.

Comandos suportados pelo shell interativo

Os operadores possuem acesso a um shell interativo que permite controlar remotamente a vítima por meio do Telegram.

Entre os comandos identificados pelos pesquisadores estão:

help
Exibe a lista de comandos disponíveis para o operador.

id
Retorna informações de identificação da máquina comprometida.

shell
Permite executar comandos diretamente no sistema infectado.

kill
Finaliza a execução do malware ou de componentes específicos.

upload
Envia arquivos para a máquina comprometida.

stop
Interrompe determinadas atividades do malware.

focus
Comando cuja finalidade exata ainda não foi completamente esclarecida pelos pesquisadores, mas que pode estar relacionado à seleção de alvos específicos ou à priorização de tarefas.

Esse conjunto de funcionalidades transforma o Gaslight em uma plataforma flexível para espionagem e coleta de dados.

Captura de dados e persistência no macOS

O foco principal da ameaça é o roubo de informações sensíveis.

Os pesquisadores identificaram rotinas capazes de coletar:

  • Histórico do Terminal;
  • Credenciais armazenadas no Keychain do macOS;
  • Dados de navegação do Google Chrome;
  • Informações do Brave Browser;
  • Dados do Mozilla Firefox;
  • Informações do Safari;
  • Arquivos potencialmente relevantes para espionagem.

Para garantir permanência no sistema, o malware utiliza mecanismos de persistência baseados em LaunchAgent, recurso legítimo do macOS frequentemente explorado por ameaças avançadas.

Com isso, o código malicioso pode continuar ativo mesmo após reinicializações do sistema, aumentando o tempo de permanência do invasor no ambiente comprometido.

O perigo dos malwares criados por inteligência artificial

Outro aspecto que despertou interesse dos pesquisadores foi a possível participação de ferramentas de IA na própria criação do malware.

A SentinelOne observou evidências de que partes do instalador em Bash podem ter sido geradas ou auxiliadas por modelos de linguagem.

Entre os indícios encontrados estão:

  • Estruturas de comentários incomuns;
  • Cabeçalhos excessivamente detalhados;
  • Organização característica de código produzido por IA;
  • Uso de elementos visuais e emojis normalmente ausentes em scripts criados manualmente por operadores avançados.

Embora isso não constitua prova definitiva, o caso reforça uma tendência já observada em outros incidentes recentes.

A mesma tecnologia utilizada para auxiliar programadores, automatizar tarefas e acelerar o desenvolvimento de software também pode ser explorada para criar ferramentas ofensivas mais rapidamente.

Isso não significa que a IA esteja criando ataques sozinha, mas demonstra que grupos criminosos estão incorporando essas ferramentas ao seu arsenal operacional.

Malware Gaslight para macOS e o futuro da defesa baseada em IA

O surgimento do malware Gaslight para macOS representa um sinal importante para empresas, pesquisadores e administradores de sistemas.

Durante anos, a indústria de segurança investiu no uso de inteligência artificial para acelerar análises, identificar comportamentos suspeitos e reduzir o tempo de resposta a incidentes. Agora, os criminosos começam a desenvolver técnicas específicas para explorar as limitações desses sistemas.

O resultado é uma nova dinâmica de ataque e defesa, em que a disputa não ocorre apenas entre malware e antivírus, mas também entre atacantes e modelos de linguagem utilizados em fluxos automatizados de investigação.

Para organizações que utilizam IA em seus processos de segurança, o caso serve como alerta para a necessidade de validação humana, múltiplas camadas de análise e mecanismos capazes de identificar tentativas de prompt injection.

Conclusão e os novos rumos da cibersegurança

O malware Gaslight para macOS não se destaca apenas por suas capacidades de espionagem ou pelo roubo de informações. Sua verdadeira inovação está na tentativa de atacar diretamente as ferramentas de análise baseadas em inteligência artificial, algo que até pouco tempo era considerado um cenário teórico.

Ao combinar Rust, Python, persistência via LaunchAgent, controle por Telegram e técnicas de injeção de prompt, a ameaça demonstra como o cenário de cibersegurança continua evoluindo rapidamente.

A principal lição deixada pelo caso é clara: à medida que a IA se torna uma peça central na defesa digital, ela também passa a ser um alvo estratégico para atacantes.

Compartilhe este artigo
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Seguir
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista em Android, Apple, Cibersegurança e diversos outros temas do universo tecnológico. Seu foco é trazer análises aprofundadas, notícias e guias práticos sobre segurança digital, mobilidade, sistemas operacionais e as últimas inovações que moldam o cenário da tecnologia.
CibersegurançaNotícias

Malware Edgecution escapa do sandbox do Chromium

Edge 139 Beta

Entenda como o malware Edgecution usa extensões do Chromium para escapar do sandbox e preparar ataques de ransomware.

Por Jardeson Márcio

Leia também

Posts sobre o mesmo assunto