ova
Voltar ao blog
·10 min de leitura·productdevbook

Como detectar atividade de rede suspeita no seu Mac

Como identificar cedo atividade estranha de rede em um Mac: ferramentas, sinais e os padrões que de fato indicam problema.

  • Security
  • macOS
  • Network monitoring
  • Privacy

A ventoinha sobe às 2h. Um amigo menciona que o banco dele sinalizou logins incomuns. Você lê uma thread sobre um pacote npm malicioso que exfiltra variáveis de ambiente de dev. De repente cada blip do seu Mac parece suspeito. Na maior parte das vezes não é — o macOS é tagarela por design — mas saber distinguir ruído normal de fundo de atividade de rede suspeita que vale investigar é uma habilidade que vale ter. Aqui um checklist calmo, sem alarmismo.

Comece deste pressuposto: a grande maioria do tráfego inesperado num Mac saudável é benigno. iCloud, Time Machine, push notifications, atualizações de software, telemetria de apps que você instalou — todos geram tráfego em horas estranhas. O ponto deste checklist é reconhecer o pequeno conjunto de padrões que genuinamente vale uma segunda olhada.

Como é o "ruído normal"

Antes de você flagrar um sinal suspeito, precisa saber como tráfego em segundo plano se parece num Mac em que você confia.

Serviços do sistema da Apple

Aparecem sob PIDs que você nem reconhece de cara. Comuns:

  • cloudd — sync do iCloud (Photos, Drive, iCloud Keychain)
  • bird — também iCloud (sim, dois daemons)
  • apsd — Apple Push Notification service (sempre ligado, taxa baixa)
  • nsurlsessiond — transferências URLSession em segundo plano (App Store, atualizações de SO, Time Machine para alvos de rede)
  • softwareupdated — checagens de atualização do macOS (rajadas ocasionais)
  • gamed, imagent, identityservicesd — Game Center, iMessage, presença do FaceTime
  • mDNSResponder — descoberta Bonjour no Wi-Fi local (só local, não internet)
  • syspolicyd, trustd — assinatura de código e validação de certificado (pequeno, frequente)
  • parsecd, família Siri — sugestões do Spotlight, Siri

Se você ordenar por bytes e ver só esses nomes mais seu navegador e apps de chat, seu Mac está bem.

Apps de "sync" de terceiros

Qualquer coisa que promete "arquivos em todo lugar" roda constantemente:

  • Dropbox, Google Drive, OneDrive, Box
  • Sync do 1Password, Bitwarden
  • Notion, Obsidian Sync, Bear, Things
  • Spotify, Music (atualizações de catálogo, sync)
  • Clientes de VPN (TailscaleApp, NordVPN) — mantêm túneis vivos

Tráfego deles é pequeno em estado estacionário e dá rajadas quando você muda algo que sincronizam. Tráfego ocioso em estado estacionário é normal.

Navegadores em segundo plano

Chrome e Safari mantêm conexões com servidores de atualização de extensões, endpoints de sync e qualquer aba fixada que você esqueceu (uma aba web do Slack, um calendário, uma aba de YouTube Music). Um navegador ocioso ainda move bytes.

Sinais de atividade de rede suspeita no Mac que vale investigar

Agora os padrões realmente suspeitos. Esses justificam um olhar mais atento — não pânico, só uma olhada.

1. Destinos desconhecidos de um processo conhecido

Um processo em que você confia (digamos, sua IDE ou um pequeno utilitário que instalou no mês passado) está conectando num espaço de IP que você não reconhece. Vale checar. As ferramentas mais simples:

  • lsof -i -P -n -p <PID> — toda conexão que aquele PID tem aberta, com IPs e portas remotas
  • whois no IP, ou um lookup reverso de DNS (dig -x <ip>)
  • Uma busca pelo IP — a maioria dos endpoints legítimos de nuvem (AWS, GCP, Azure, Cloudflare) é imediatamente óbvia

Suspeito aqui significa: um pequeno utilitário conectando num espaço de IP de ISP residencial, um app pirata alcançando um domínio que você não reconhece, uma CLI do npm ou pip pingando um servidor sem ligação óbvia com seu propósito.

2. Uploads fora de horário da sua própria máquina

Upload sustentado às 3h de um app que não tem razão para fazer upload — esse é um sinal real. Cuidado com este: casos legítimos incluem Time Machine para alvo de rede, sync de fotos se atualizando depois de um backup do iPhone e sync grande de iCloud Drive.

Mas se é um app que você não reconhece, sustentado por uma hora, mandando centenas de megabytes, enquanto você dorme — investigue.

3. Portas incomuns

A maioria dos apps modernos fala HTTPS na porta 443 ou HTTP na 80. Algumas exceções legítimas: SSH (22), email (25/465/587/993/995), DNS (53/853), clientes de banco (5432, 3306, 27017, 6379), clientes de jogo (qualquer faixa que escolhem), VPNs (1194, 51820 para WireGuard), Tailscale (41641 UDP).

Saída para portas como 4444, 6667 (IRC) ou portas altas arbitrárias sem razão clara vale uma olhada. O mesmo para um app que fala numa porta não-padrão e nunca usa 443.

4. Reconexões persistentes de um app

Um processo abre uma conexão, ela é fechada, abre outra, o ciclo se repete a cada poucos segundos. Pode ser uma VPN mal configurada reconectando. Pode ser um app Electron cujo renderer está dando crash em loop. Pode ser um info-stealer tentando ligar para casa por um proxy instável.

A taxa de conexão (conexões por segundo por processo) é um sinal mais sensível do que a taxa de bytes.

5. Um processo novo que você não instalou

Aparecendo na sua lista de banda com nome que você nunca viu, sem bundle .app em /Applications, executável em /tmp ou ~/Library/LaunchAgents que você não lembra de ter adicionado. Essa é a forma canônica de malware. Cheque com:

launchctl list | grep -v com.apple

…para ver jobs ativos do launchd que não são da Apple. E:

ls -la ~/Library/LaunchAgents/ /Library/LaunchAgents/ /Library/LaunchDaemons/

…para ver arquivos de persistência. A maior parte das entradas é legítima (Dropbox, Spotify, etc.), mas qualquer coisa que você não reconhece, busque.

6. Pico súbito de um processo que normalmente é quieto

Spotlight (mds_stores) normalmente não faz I/O de rede. Um daemon de assinatura de código não deveria estar fazendo upload. Um processo legítimo de repente se comportando fora da categoria é um sinal — às vezes de uma atualização de software mudando comportamento, às vezes de outra coisa.

Um checklist calmo

Rode essa lista antes de entrar em pânico. Leva uns dez minutos.

  1. Cheque a aba Rede do Activity Monitor. Ordene por Dados Enviados/s e Dados Recebidos/s. Anote qualquer coisa no top cinco que você não reconhece.
  2. Para cada processo desconhecido: clique direito → Inspecionar → Open Files and Ports. Para quais endereços está falando? O caminho do bundle está em /Applications? Em ~/Library? Em /tmp?
  3. Pesquise o bundle ID. mdls -name kMDItemCFBundleIdentifier <caminho>. Procure por ele. Apps legítimos mostram resultados claros.
  4. Cheque persistência do launchd. launchctl list | grep -v com.apple e as pastas LaunchAgents/Daemons listadas acima.
  5. Cheque o log unificado para o processo. log show --last 1h --predicate 'process == "Suspeito"' --info — o que ele estava fazendo?
  6. Cheque extensões instaladas. systemextensionsctl list para Network Extensions. Qualquer coisa que você não instalou, busque.
  7. Rode um scanner respeitável. Malwarebytes for Mac e KnockKnock (do Objective-See) são gratuitos e bem considerados. Não são infalíveis, mas pegam o óbvio.
  8. Se ainda estiver inseguro, tire screenshot e pergunte. Um screenshot do painel Inspect do processo suspeito e um paste da lista do launchctl são suficientes para alguém experiente fazer triagem.

Veja o ova em ação

Um monitor de banda na barra de menu para olhar de relance — local, assinado, ~3 MB.

Baixar para macOS

Por que um monitor passivo ajuda

A parte mais difícil de investigar atividade suspeita é estar lá quando acontece. Quando sua ventoinha está girando, o processo infrator pode ter parado. Quando você abre o Activity Monitor, o pico já se foi.

Um monitor de banda na barra de menu como o ova ajuda porque é passivo e contínuo. Amostra a cerca de 1 Hz e armazena histórico localmente, então quando você finalmente notar a ventoinha, pode navegar pelas últimas horas e ver exatamente como a rede estava na hora. Por app, com auxiliares agrupados, numa linha do tempo.

Isso não substitui uma ferramenta EDR de verdade (essas existem para modelos sérios de ameaça), mas para uso pessoal melhora dramaticamente suas chances de ver o sinal que você está procurando.

Histórico por app para forense
ova mantém uma linha do tempo navegável de banda por app num arquivo SQLite local. Quando você flagra algo estranho, pode olhar para trás em vez de tentar pegar ao vivo.

Coisas que parecem assustadoras mas geralmente não são

Uma lista curta de "isso parecia suspeito mas era normal":

  • Uma rajada do mDNSResponder numa nova rede Wi-Fi. Descoberta Bonjour. Normal.
  • identityservicesd conectando aos servidores da Apple. Presença iMessage / FaceTime. Normal.
  • apsd mantendo conexão persistente com *.push.apple.com. Push notifications. Normal.
  • com.apple.geod alcançando ocasionalmente. Maps e serviços de localização. Normal.
  • triald, parsecd, searchpartyd. Pesquisa Apple / Spotlight / Find My. Normal.
  • Uma rajada massiva de download logo após atividade do softwareupdated. Atualização do macOS. Normal.
  • Uma conexão para 17.x.x.x. Esse é o range de IP da Apple. Normal.

Em dúvida, busque o nome do processo mais "macOS" — a maior parte dos daemons da Apple é bem documentada.

O que é de fato raro

Comprometimento genuíno num Mac de uso pessoal é incomum para usuários que:

  • Ficam na App Store e em apps notarizados
  • Não rodam software pirata
  • Não colam shell scripts de sites aleatórios sem ler
  • Mantêm o macOS atualizado
  • Não reusam senhas em contas críticas

As ameaças reais mais comuns hoje não são "vírus de Mac" mas malware stealer empacotado com apps crackeados, pacotes maliciosos do npm/pip mirando devs e páginas de phishing que pedem para você rodar um comando curl-pipe-bash. A defesa é a mesma de sempre: cuidado com o que instala, cuidado com o que cola num terminal.

Encerrando

Atividade de rede suspeita em Mac que de fato vale se preocupar é real mas mais rara do que parece. A maior parte do tráfego não explicado é iCloud, Apple Push, apps de sync ou uma aba esquecida de navegador. Os sinais que valem investigar são destinos desconhecidos de processos familiares, uploads fora de horário de apps que não deveriam fazer upload, reconexões persistentes, portas incomuns e processos não-familiares aparecendo no launchd. O checklist calmo acima leva uns dez minutos e resolve a maior parte dos casos.

Para consciência passiva e contínua para você poder olhar para trás quando algo parece estranho, instale o ova — cerca de 3 MB, macOS 14 e posteriores, Apple Silicon e Intel, amostra a aproximadamente 1 Hz, todos os dados ficam locais no seu disco. Não é firewall, não é EDR — só uma visão clara do que seus apps estão fazendo, disponível quando você precisar.