Um novo backdoor para macOS, desenvolvido em Rust, está chamando atenção por combinar roubo de dados, acesso remoto interativo e uso do Telegram para enviar arquivos furtados de dispositivos Apple.
A ameaça foi identificada no início de junho de 2026, após uma atualização do XProtect, sistema de proteção da Apple, sinalizar um arquivo suspeito enviado ao VirusTotal em maio.
O malware é rastreado como macOS.Gaslight.
Segundo pesquisadores da SentinelOne, a ameaça tem ligação provável com atividades associadas à Coreia do Norte.
A amostra também apresenta semelhanças com outras famílias de malware usadas em campanhas anteriores contra usuários de macOS.
O backdoor reúne várias funções em um único arquivo.
Ele pode coletar credenciais de navegadores como Chrome, Brave, Firefox e Safari, copiar o chaveiro de login do macOS, listar aplicativos instalados e capturar históricos do terminal.
Os dados roubados são compactados e enviados aos operadores por meio do recurso de upload de arquivos do Telegram.
Esse método ajuda a disfarcar a comunicação maliciosa como tráfego comum de uma plataforma legítima.
O malware também usa técnicas para manter presença após reinicializações, disfarando-se como um serviço do sistema.
Além disso, possui mecanismos para dificultar a análise por ferramentas modernas, incluindo mensagens falsas criadas para confundir fluxos de investigação baseados em IA.
