# Dacls > Tipo: **malware** · S0497 · [MITRE ATT&CK](https://attack.mitre.org/software/S0497) ## Descrição [[s0497-dacls|Dacls]] é uma ferramenta de acesso remoto (RAT) multiplataforma utilizada pelo [[g0032-lazarus-group|Lazarus Group]] desde pelo menos dezembro de 2019. Identificado inicialmente pela Qihoo 360 Netlab, o Dacls destaca-se por sua compatibilidade com Windows, Linux e macOS, demonstrando o investimento do [[g0032-lazarus-group|Lazarus Group]] em capacidades de ataque agnósticas de plataforma. O nome deriva de características encontradas em strings internas do malware. O [[s0497-dacls|Dacls]] opera como um backdoor completo com suporte a múltiplos plugins que expandem suas capacidades: execução de comandos, varredura de rede, acesso a arquivos, comunicação C2 via TLS e funcionalidade de proxy. O malware utiliza arquivos de configuração cifrados com AES para armazenar detalhes do C2, e se comúnica via protocolo proprietário sobre TLS para evitar inspeção de tráfego. Em sistemas Linux e macOS, estabelece persistência via Launch Agents ou serviços systemd. A versatilidade multiplataforma do [[s0497-dacls|Dacls]] reflete a estratégia do [[g0032-lazarus-group|Lazarus Group]] de maximizar o alcance de suas operações de espionagem e sabotagem. A variante macOS foi especialmente notável por sua capacidade de mascarar processos e ocultar arquivos, dificultando a detecção em ambientes corporativos que adotam dispositivos Apple. O malware foi associado a campanhas de espionagem financeira e industrial características do grupo norte-coreano. **Plataformas:** macOS, Linux, Windows ## Técnicas Utilizadas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1543-001-launch-agent|T1543.001 - Launch Agent]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1543-004-launch-daemon|T1543.004 - Launch Daemon]] - [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1036-masquerading|T1036 - Masquerading]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção - Monitorar criação de Launch Agents ou Launch Daemons em macOS por processos não assinados ([[t1543-001-launch-agent|T1543.001]], [[t1543-004-launch-daemon|T1543.004]]) - Detectar comúnicações TLS para IPs externos de processos com nomes mascarados ([[t1036-masquerading|T1036]]) - Alertar sobre arquivos de configuração cifrados criados em diretórios incomuns ([[t1027-013-encryptedencoded-file|T1027.013]]) - Monitorar transferências de arquivos suspeitas via [[t1105-ingress-tool-transfer|T1105]] em sistemas Linux e macOS - Identificar processos escondendo arquivos ou diretórios ([[t1564-001-hidden-files-and-directories|T1564.001]]) ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]] da Coreia do Norte tem interesse documentado em instituições financeiras globalmente, incluindo bancos brasileiros. O ataque ao Banco Central do Bangladesh em 2016 e múltiplas operações contra bancos sul-americanos demonstram o alcance do grupo. O [[s0497-dacls|Dacls]], com suporte a múltiplas plataformas, é particularmente perigoso em ambientes corporativos brasileiros que misturam Windows, Linux e macOS. Organizações nos setores financeiro, de defesa e governo devem monitorar indicadores do Lazarus Group em todas as plataformas - não apenas Windows. ## Referências - [MITRE ATT&CK - S0497](https://attack.mitre.org/software/S0497) - [Qihoo 360 Netlab - Dacls Analysis](https://blog.netlab.360.com/dacls-the-dual-platform-rat/)