ikitten - RunkIntel

# iKitten > [!medium] Agente de Exfiltração macOS - Charming Kitten Iraniano > iKitten (também conhecido como **OSX/MacDownloader** ou **MacDownloader**) é um agente de exfiltração para macOS desenvolvido pelo grupo iraniano **Charming Kitten** (APT35/Phosphorus), identificado em fevereiro de 2017. Distribuído como instalador falso do **Adobe Flash Player** ou ferramenta antivírus, rouba o **macOS Keychain** completo, exibe diálogo falso de senha e envia dados para servidores C2 iranianos. Alvo preferêncial: contratantes da indústria de defesa americana e ativistas de direitos humanos. ## Visão Geral iKitten foi descoberto e documentado em fevereiro de 2017 por pesquisadores Collin Anderson e Claudio Guarnieri, que públicaram análise detalhada do malware com foco no contexto político de sua implantação. O nome "iKitten" é um trocadilho com o grupo responsável (Charming Kitten) e a plataforma alvo (macOS), enquanto o nome técnico "OSX/MacDownloader" refere-se à classificação antivírus. O [[charming-kitten]] (rastreado como APT35 pelo FireEye e como Phosphorus pela Microsoft) é um grupo de APT iraniano com histórico de espionagem direcionada a alvos de interesse estratégico para o governo do Irã: ativistas políticos iranianos no exílio, jornalistas críticos ao regime, funcionários governamentais americanos e pesquisadores associados a grupos de defesa e think tanks. O iKitten representa a capacidade do Charming Kitten de desenvolver malware específico para macOS - uma plataforma frequentemente subestimada em discussões de segurança empresarial. A escolha de macOS como alvo reflete o perfil dos alvos: profissionais de alto nível, pesquisadores acadêmicos e ativistas frequentemente usam MacBooks como plataforma principal de trabalho. A técnica de roubo do macOS Keychain é particularmente invasiva: o Keychain armazena senhas de sites, chaves SSH, certificados, tokens de aplicativos e credenciais Wi-Fi. Uma cópia completa do Keychain fornece ao atacante acesso a essencialmente toda a vida digital do alvo, muito além de simples credenciais de site. ## Como Funciona **Distribuição:** 1. Email de spear phishing com link para download do "instalador de Adobe Flash" atualizado 2. Alternativamente, distribuído como "ferramenta de remoção de adware" da Bitdefender (nome utilizado em algumas campanhas) 3. O instalador falso é criado com aparência convincente, incluindo ícone e metadados corretos **Instalação e exfiltração:** 1. Usuário executa o DMG/PKG do instalador falso no macOS 2. Uma janela de progresso de instalação aparece (falsa) para manter o usuário ocupado 3. Em background, o malware: - Cria arquivo ZIP do diretório `/Library/Keychains/` (Keychain completo) - Enumera aplicativos instalados e processos em execução - Coleta informações de rede (interfaces, IPs, configuração) **Técnica de engano (GUI Input Capture):** 1. O malware exibe diálogo que imita as "Preferências do Sistema" do macOS 2. O diálogo solicita a senha do usuário (sob pretexto de completar instalação) 3. A senha digitada é capturada sem interação com o sistema macOS real 4. Isso fornece a senha de descriptografia do Keychain ao atacante **Persistência:** - Scripts RC (`/etc/rc.common`) para execução em reinicialização do sistema - Arquivos em diretórios ocultos (`.` prefix) para dificultar descoberta manual **Exfiltração:** - Keychain compactado + dados coletados enviados via HTTP POST para C2 - Servidores C2 historicamente localizados em infraestrutura iraniana ## Attack Flow ```mermaid graph TB A["Spear Phishing Email com link Flash ou antivirus falso"] --> B["Instalador macOS DMG/PKG com aparencia legitima"] B --> C["Background Collection ZIP do Keychain em /Library/Keychains"] C --> D["Diálogo Falso Imita Preferências do Sistema macOS"] D --> E["Senha Capturada T1056.002 GUI Input Capture"] E --> F["Persistência RC Scripts /etc/rc.common sobrevive reinicio"] F --> G["Exfiltração HTTP Keychain + senha para C2 iraniano"] G --> H["Acesso total Todas credenciais do alvo comprometidas"] ``` **Legenda:** [[charming-kitten]] · [[apt35]] · [[t1555-001-keychain|T1555.001]] · [[t1056-002-gui-input-capture|T1056.002]] · [[t1037-004-rc-scripts|T1037.004]] ## Timeline ```mermaid timeline title iKitten / MacDownloader - Linha do Tempo 2017-02 : iKitten descoberto : Anderson e Guarnieri : Pesquisa publicada 2017 : Charming Kitten atribuido : APT35 / Phosphorus : Alvos defesa americana 2017 : Campanhas documentadas : Ativistas iranianos exilio : Funcionarios governo EUA 2017-2018 : Infraestrutura C2 : IPs iranianos identificados : Domínios bloqueados 2018+ : Evolução do grupo : Charming Kitten continua : Novos malwares macOS 2020-2025 : Grupo ativo : Novas campanhas : macOS continua alvo ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Keychain | [[t1555-001-keychain\|T1555.001]] | Roubo do arquivo Keychain completo do macOS | | GUI Input Capture | [[t1056-002-gui-input-capture\|T1056.002]] | Diálogo falso de "Preferências do Sistema" para capturar senha | | Archive via Utility | [[t1560-001-archive-via-utility\|T1560.001]] | Compactação ZIP do Keychain antes da exfiltração | | RC Scripts | [[t1037-004-rc-scripts\|T1037.004]] | Persistência via /etc/rc.common para execução no boot | | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Instalador falso enviado como link em email direcionado | | Hidden Files and Directories | [[t1564-001-hidden-files-and-directories\|T1564.001]] | Arquivos ocultos com prefixo ponto para evitar descoberta | | System Network Config Discovery | [[t1016-system-network-configuration-discovery\|T1016]] | Coleta de informações de rede (interfaces, IPs) | | Process Discovery | [[t1057-process-discovery\|T1057]] | Enumeração de processos em execução no sistema | ## Relevância para o Brasil e LATAM O iKitten como ferramenta específica é de 2017, mas o padrão e o grupo Charming Kitten têm relevância contínua: **macOS como vetor negligenciado:** - O Brasil tem crescimento acelerado de usuários corporativos de macOS, especialmente em [[technology|tecnologia]], [[financial|finanças]] e academia - A percepção de que "Mac não pega vírus" cria vulnerabilidade comportamental: usuários são menos cautelosos ao executar instaladores no macOS - Empresas brasileiras que não implementam controles de segurança para macOS equivalentes ao Windows estão expostas a ameaças como o iKitten **Charming Kitten e interesses no Brasil:** - O [[charming-kitten]] tem interesse documentado em alvos relacionados à política do Oriente Médio e à comunidade iraniana na diáspora - O Brasil tem uma das maiores comunidades irano-descendentes fora do Irã, criando possível interesse do grupo em alvos no Brasil - Think tanks, universidades e jornalistas brasileiros que cobrem o Irã ou Oriente Médio são potencialmente alvejáveis por este grupo **Lições técnicas aplicáveis:** - A técnica de diálogo falso de senha (T1056.002) é altamente transferível: qualquer grupo pode criar versões atualizadas desta técnica para macOS moderno - O roubo do Keychain macOS permanece uma das formas mais devastadoras de comprometimento de identidade digital - proteção adequada requer MFA hardware - A [[lgpd|LGPD]] cobre dados pessoais em qualquer plataforma, incluindo macOS - o roubo de Keychain de executivos brasileiros é violação regulatória ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - iKitten / OSX MacDownloader (TLP:GREEN) > **Artefatos no host (macOS):** > Arquivo ZIP criado em /tmp contendo keychains/ > Modificação em /etc/rc.common com entrada suspeita > Processo com acesso a /Library/Keychains/ sem ser o sistema > > **Comportamento:** > Diálogo de senha macOS sem contexto de ação do usuário > HTTP POST de saída para IP externo com arquivo ZIP > Instalador DMG/PKG com assinatura inválida ou sem assinatura > > **Fonte:** Collin Anderson/Claudio Guarnieri Research · MITRE ATT&CK S0278 **Mitigações recomendadas:** - Usar [[m1034-limit-hardware-installation|M1034]] e Gatekeeper do macOS: só executar aplicativos da App Store ou desenvolvedores verificados - Implementar [[m1017-user-training|M1017]]: usuários macOS devem ser igualmente treinados para phishing - Usar hardware MFA para credenciais críticas - YubiKey torna Keychain comprometido menos útil ao atacante - Monitorar acesso ao diretório `/Library/Keychains/` por processos não-system via [[ds0022-file|DS0022]] - Aplicar [[m1049-antivirus|M1049]] com suporte específico para macOS (Malwarebytes, CrowdStrike Falcon para Mac) - Verificar regularmente `/etc/rc.common` e LaunchDaemons para entradas não autorizadas ## Referências - [1](https://objective-see.org/blog.html) Objective-See - macOS Malware Analysis Reference - [2](https://attack.mitre.org/software/S0278/) MITRE ATT&CK - iKitten S0278 (2017) - [3](https://malpedia.caad.fkie.fraunhofer.de/details/osx.ikitten) Malpedia - iKitten/MacDownloader Entry (2017) - [4](https://citizenlab.ca/2017/02/bittersweet-nso-mexico-abuses/) Collin Anderson/Claudio Guarnieri - MacDownloader Original Research (2017) - [5](https://www.crowdstrike.com/blog/state-of-macOS-security-2023/) CrowdStrike - macOS Security Threat Landscape (2023) - [6](https://www.microsoft.com/en-us/security/blog/2021/03/04/phosphorus-automates-core-part-of-its-spear-phishing-campaigns/) Microsoft - Phosphorus (Charming Kitten) Campaign Analysis (2021)