# CallMe > Tipo: **malware** · S0077 · [MITRE ATT&CK](https://attack.mitre.org/software/S0077) ## Descrição [[s0077-callme|CallMe]] é um Trojan projetado para rodar no Apple OSX. É baseado em uma ferramenta públicamente disponível chamada Tiny SHell, adaptada pelo grupo [[g0029-scarlet-mimic|Scarlet Mimic]] para operações de espionagem direcionadas a ativistas e grupos minoritários. O malware fornece acesso remoto ao sistema comprometido via shell interativa, permitindo execução de comandos arbitrários e transferência de arquivos. A comunicação C2 é criptografada com criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]), dificultando a inspeção do tráfego. O CallMe exfiltra dados coletados via canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]) e pode receber binários ou scripts adicionais para ampliar as capacidades do atacante. A distribuição geralmente ocorre através de documentos isca enviados por e-mail ou mensagens direcionadas a grupos específicos. O [[g0029-scarlet-mimic|Scarlet Mimic]] utilizou o CallMe em campanhas de espionagem contra comunidades tibetanas, uigures e ativistas pró-democracia na Ásia, demonstrando interesse em vigilância de longo prazo contra populações-alvo específicas. O código derivado do Tiny SHell torna a detecção mais difícil em ambientes macOS onde ferramentas de segurança são menos maduras do que no ecossistema Windows. **Plataformas:** macOS ## Técnicas Utilizadas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] ## Grupos que Usam - [[g0029-scarlet-mimic|Scarlet Mimic]] ## Detecção - Monitorar conexões de rede de shell interativa (PTY) originadas de processos não esperados em macOS - Detectar tráfego de rede criptografado com chaves simétricas de processos não reconhecidos ([[t1573-001-symmetric-cryptography|T1573.001]]) - Alertar sobre execuções de Unix Shell ([[t1059-004-unix-shell|T1059.004]]) em contextos incomuns de processo pai - Identificar transferências de arquivos via C2 para endereços IP externos não categorizados ([[t1041-exfiltration-over-c2-channel|T1041]]) - Monitorar binários não assinados derivados de ferramentas públicas como Tiny SHell em ambientes macOS ## Relevância LATAM/Brasil O [[s0077-callme|CallMe]] e o [[g0029-scarlet-mimic|Scarlet Mimic]] têm foco histórico em comunidades étnicas e ativistas, não específicamente no LATAM. Contudo, organizações de direitos humanos e ONGs no Brasil que trabalham com populações indígenas, refugiados ou dissidentes políticos poderiam ser alvos de grupos que utilizam TTPs similares. O uso de macOS em ambientes jornalísticos e de ativismo no Brasil cria superfície de ataque relevante para ameaças desta categoria. A técnica de C2 baseada em Tiny SHell pode ser replicada por grupos com menor sofisticação técnica que tenham interesse em alvos brasileiros. ## Referências - [MITRE ATT&CK - S0077](https://attack.mitre.org/software/S0077)