s0161-xagentosx - RunkIntel

# XAgentOSX > Tipo: **malware** · S0161 · [MITRE ATT&CK](https://attack.mitre.org/software/S0161) ## Descrição [[s0161-xagentosx|XAgentOSX]] (também conhecido como OSX.Sofacy) é um trojan para macOS utilizado pelo [[g0007-apt28|APT28]] (Fancy Bear/GRU russo), que parece ser um port do trojan padrão [[chopstick|CHOPSTICK]] (X-Agent) do grupo adaptado para o sistema operacional Apple. O malware demonstra a capacidade do [[g0007-apt28|APT28]] de desenvolver e manter ferramentas para múltiplas plataformas, incluindo o macOS, que é amplamente utilizado em ambientes governamentais e corporativos de alto valor. O XAgentOSX fornece capacidades abrangentes de vigilância no macOS: keylogging para captura de senhas e comúnicações, captura de tela, roubo de credenciais de navegadores web, descoberta de processos e arquivos do sistema, e coleta de informações gerais do sistema. A comunicação ocorre via protocolos de transferência de arquivos (FTP), e o malware apaga seus rastros após operações de coleta. O uso da API nativa do macOS para operações garante eficiência e dificuldade adicional de detecção. O [[g0007-apt28|APT28]] utilizou o XAgentOSX em campanhas de espionagem, incluindo operações contra organizações políticas nos EUA durante as eleições de 2016 e contra alvos militares e diplomáticos europeus. A capacidade do grupo de comprometer tanto sistemas Windows quanto macOS demonstra o investimento do GRU em operações cibernéticas multi-plataforma de alto nível. **Plataformas:** macOS ## Técnicas Utilizadas - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1071-002-file-transfer-protocols|T1071.002 - File Transfer Protocols]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1106-native-api|T1106 - Native API]] ## Grupos que Usam - [[g0007-apt28|APT28]] ## Detecção A detecção do XAgentOSX requer soluções de segurança específicas para macOS: monitoramento de keylogging via hooking de teclado em aplicativos (CGEventTap no macOS), acesso ao keychain e stores de credenciais de navegadores, e comúnicações FTP de processos não esperados. Soluções EDR para macOS como CrowdStrike Falcon, SentinelOne ou Jámf Protect são essenciais para detecção comportamental nessa plataforma. Monitorar auto-start items e LaunchAgents/LaunchDaemons suspeitos também é relevante. ## Relevância LATAM/Brasil O [[g0007-apt28|APT28]] (GRU russo) realiza operações de espionagem globalmente, com foco em governo, militar e organizações políticas. Funcionários governamentais brasileiros, diplomatas e representantes de partidos políticos que utilizam macOS são potencialmente vulneráveis ao XAgentOSX ou variantes similares. Com o crescente uso de Macs em ambientes governamentais brasileiros, a implementação de soluções de segurança para macOS e políticas de MDM (Mobile Device Management) tornam-se cada vez mais importantes para organizações de alto perfil no Brasil. ## Referências - [MITRE ATT&CK - S0161](https://attack.mitre.org/software/S0161)