# MacSpy > Tipo: **malware** · S0282 · [MITRE ATT&CK](https://attack.mitre.org/software/S0282) ## Descrição [[s0282-macspy|MacSpy]] é um spyware para macOS oferecido como Malware-as-a-Service (MaaS) na darkweb a partir de 2017, disponível em versão gratuita e versão premium com recursos avançados. O MacSpy foi um dos primeiros exemplos documentados de MaaS específicamente desenvolvido para macOS, demonstrando a profissionalização crescente dos mercados de malware underground e o interesse crescente em alvos que usam sistemas Apple. O MacSpy realiza captura de tela ([[t1113-screen-capture|T1113]]), captura de áudio via microfone ([[t1123-audio-capture|T1123]]) e keylogging ([[t1056-001-keylogging|T1056.001]]), além de capturar dados da área de transferência ([[t1115-clipboard-data|T1115]]). A persistência é estabelecida via Launch Agent ([[t1543-001-launch-agent|T1543.001]]). As comúnicações C2 usam roteamento multi-hop via rede Tor ([[t1090-003-multi-hop-proxy|T1090.003]]) para ocultar a infraestrutura do operador, com tráfego via HTTP ([[t1071-001-web-protocols|T1071.001]]). Arquivos e diretórios ocultos ([[t1564-001-hidden-files-and-directories|T1564.001]]) protegem os componentes do malware de descoberta pelo usuário. O modelo MaaS do MacSpy democratizou o acesso a capacidades de espionagem em macOS para atores sem habilidades técnicas avançadas. Embora o serviço original tenha sido desativado após exposição pública, o código e as técnicas influenciaram o desenvolvimento de famílias posteriores de spyware macOS. Usuários de macOS no Brasil, especialmente executivos e profissionais com acesso a informações sensíveis, são alvos potenciais de variantes similares disponíveis em mercados underground. **Plataformas:** macOS ## Técnicas Utilizadas - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1543-001-launch-agent|T1543.001 - Launch Agent]] - [[t1115-clipboard-data|T1115 - Clipboard Data]] - [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]] - [[t1123-audio-capture|T1123 - Audio Capture]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] ## Detecção - **[[ds-0009-process|Process Creation]]** - Monitorar acesso ao microfone e câmera em macOS por processos sem permissão explícita do usuário via Privacy Preferences - o MacSpy realiza captura de áudio e vídeo sem consentimento. - **[[ds-0029-network-traffic|Network Traffic Content]]** - Detectar conexões Tor (porta 9050/9150) por processos desconhecidos - o MacSpy usa Tor para ocultar a infraestrutura de C2. - **[[ds-0022-file|File Creation]]** - Alertar para criação de diretórios ocultos (iniciados com `.`) em home do usuário por instaladores sem assinatura - padrão de instalação dos componentes do MacSpy. ```sigma title: MacSpy MaaS Tor C2 Commúnication status: experimental logsource: category: network_connection product: macos detection: selection: DestinationPort: - 9050 - 9150 Initiated: 'true' filter: Image|endswith: - '/TorBrowser' - '/tor' condition: selection and not filter falsepositives: - Privacy tools using Tor network legitimately level: high tags: - attack.command-and-control - attack.t1090.003 - code/distill ``` ## Relevância LATAM/Brasil O MacSpy representa a democratização de spyware macOS via modelo MaaS, tornando capacidades de vigilância anteriormente exclusivas de atores estatais acessíveis a qualquer comprador. Executivos corporativos, advogados, jornalistas e ativistas no Brasil que utilizam macOS acreditando na segurança da plataforma estão expostos a ameaças desta categoria, especialmente aquelas distribuídas via engenharia social direcionada. ## Referências - [MITRE ATT&CK - S0282](https://attack.mitre.org/software/S0282)