# Kitsune > Tipo: **backdoor** · S0278 · [MITRE ATT&CK](https://attack.mitre.org/software/S0278) ## Descrição [[s0278-kitsune|Kitsune]] (também referênciado como OSX/Kitsune) é um backdoor macOS atribuído ao [[g0032-lazarus-group|Lazarus Group]], identificado em campanhas da Operação AppleJeus a partir de 2018. O [[g0032-lazarus-group|Lazarus Group]] desenvolveu o [[s0278-kitsune|Kitsune]] como parte de suas campanhas direcionadas a usuários de exchanges de criptomoedas em macOS, distribuindo-o disfarçado de software legítimo de trading de criptomoedas. A Operação AppleJeus representou a primeira vez que o [[g0032-lazarus-group|Lazarus Group]] foi documentado atacando usuários macOS com malware customizado, demonstrando a expansão do grupo além do ecossistema Windows. O [[s0278-kitsune|Kitsune]] é entregue como um componente de segundo estágio após a instalação de um software de trading falso que contém um updater malicioso. Suas funcionalidades incluem execução de comandos via Unix shell ([[t1059-004-unix-shell|T1059.004]]), descoberta de informações do sistema ([[t1082-system-information-discovery|T1082]]) e arquivos ([[t1083-file-and-directory-discovery|T1083]]), transferência de ferramentas adicionais ([[t1105-ingress-tool-transfer|T1105]]) e exfiltração de dados ([[t1041-exfiltration-over-c2-channel|T1041]]). A persistência é mantida via Launch Agent macOS ([[t1543-001-launch-agent|T1543.001]]), executado automaticamente no login do usuário. Comúnicação C2 ocorre via HTTP ([[t1071-001-web-protocols|T1071.001]]) com dados ofuscados ([[t1027-obfuscated-files-or-information|T1027]]). A Operação AppleJeus do [[g0032-lazarus-group|Lazarus Group]] evoluiu significativamente desde 2018, com múltiplas versões documentadas em 2019, 2021 e 2022, sempre com foco em usuários de criptomoedas em macOS e Windows. O [[s0278-kitsune|Kitsune]] representa a estratégia do [[g0032-lazarus-group|Lazarus Group]] de criar aplicações de aparência legítima como veículos de malware - uma técnica de engenharia social sofisticada que explora a confiança de usuários em software de fontes aparentemente profissionais. **Plataformas:** macOS ## Técnicas Utilizadas - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1543-001-launch-agent|T1543.001 - Launch Agent]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção Detecção do [[s0278-kitsune|Kitsune]] em macOS foca em Launch Agents suspeitos e comúnicações C2. Monitorar: criação de Launch Agents em ~/Library/LaunchAgents/ por processos não-Apple; aplicações que tentam executar shell commands após instalação inicial; e conexões HTTP para domínios externos a partir de aplicações de trading não verificadas. Ferramentas de segurança macOS como LuLu (firewall de saída) e Objective-See BlockBlock podem detectar e bloquear comportamentos do [[s0278-kitsune|Kitsune]]. ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]] tem atacado exchanges de criptomoedas globalmente, e o Brasil possui um dos maiores mercados de criptoativos da América Latina. Traders e investidores brasileiros em criptomoedas que utilizam macOS são alvos potenciais da Operação AppleJeus e do [[s0278-kitsune|Kitsune]]. Exchanges brasileiras como Mercado Bitcoin, Coinext e outras devem alertar seus usuários sobre riscos de software de trading de terceiros não verificados, especialmente em contexto de contato não-solicitado de "parceiros de negócios" oferecendo ferramentas de trading. ## Referências - [MITRE ATT&CK - S0278](https://attack.mitre.org/software/S0278)