# FALLCHILL > Tipo: **malware** · S0181 · [MITRE ATT&CK](https://attack.mitre.org/software/S0181) ## Descrição [[s0181-fallchill|FALLCHILL]] é um RAT (Remote Access Trojan) utilizado pelo [[g0032-lazarus-group|Lazarus Group]] desde pelo menos 2016 para atacar os setores aeroespacial, de telecomúnicações e financeiro. Geralmente é entregue por outros malwares do [[g0032-lazarus-group|Lazarus Group]] ou quando uma vítima visita inadvertidamente um site comprometido - indicando que funciona como payload de segundo estágio após comprometimento inicial. O US-CERT emitiu alerta específico (TA17-318A) sobre o FALLCHILL em 2017. O FALLCHILL implementa comunicação C2 usando protocolos customizados que imitam protocolos legítimos para evasão de inspeção de rede (T1001.003). O malware é instalado como serviço Windows para persistência e utiliza criptografia RC4 para comunicação com os servidores C2 - os operadores configuram múltiplos endereços de C2 como fallback. As capacidades do RAT incluem gerenciamento completo de arquivos (upload, download, listagem, deleção), alteração de timestamps para anti-forense e descoberta extensiva do sistema comprometido. Um aspecto notável é o suporte a operações de armazenamento local: o FALLCHILL é capaz de listar e interagir com drives locais, informação documentada na MITRE como T1680 (Local Storage Discovery). O [[g0032-lazarus-group|Lazarus Group]] utiliza o FALLCHILL como ferramenta de acesso persistente em campanhas prolongadas de espionagem e exfiltração de dados financeiros - especialmente em operações contra o sistema SWIFT e bancos internacionais. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1001-003-protocol-or-service-impersonation|T1001.003 - Protocol or Service Impersonation]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção - Monitorar serviços Windows recém-criados com comunicação de rede para IPs externos não reconhecidos - padrão C2 do FALLCHILL (T1543.003) - Detectar protocolos customizados que imitam protocolos legítimos em inspeção de payload de rede (T1001.003) - Alertar sobre alteração em massa de timestamps de arquivos por processos de sistema não reconhecidos (T1070.006) - Verificar exclusão de arquivos em padrão consistente com encobrir rastros após exfiltração (T1070.004) - Aplicar regras de detecção baseadas nos IOCs públicados pelo US-CERT no alerta TA17-318A sobre o FALLCHILL ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]] conduz operações globais de roubo financeiro, com foco especial em bancos e o sistema SWIFT. O Brasil, com um dos maiores sistemas financeiros do mundo e presença significativa no sistema SWIFT, representa um alvo de alto valor. O Banco Central do Brasil e instituições financeiras brasileiras devem estar cientes das TTPs do Lazarus Group para SWIFT-targeting. Além do setor financeiro, a crescente indústria aeroespacial e de defesa brasileira (Embraer, indústria satelital) é outro vetor de interesse, dado o foco do FALLCHILL nesse setor. ## Referências - [MITRE ATT&CK - S0181](https://attack.mitre.org/software/S0181) - [US-CERT Alert TA17-318A](https://www.cisa.gov/news-events/alerts/2017/11/14/north-korean-government-hackers-overview)