# Calisto > Tipo: **malware** · S0274 · [MITRE ATT&CK](https://attack.mitre.org/software/S0274) ## Descrição [[s0274-calisto|Calisto]] é um Trojan para macOS que abre um backdoor na máquina comprometida. Acredita-se que [[s0274-calisto|Calisto]] foi desenvolvido pela primeira vez em 2016. Suas capacidades incluem coleta de credenciais do Keychain, captura de entrada via GUI (senha do macOS), exfiltração de dados locais e persistência via Launch Agent disfarçado como componente legítimo do sistema. O malware realiza reconhecimento da rede local e configuração do sistema, coletando endereços MAC, rotas de rede e dados de navegadores. A comunicação com servidores de C2 é realizada via HTTP/HTTPS com dados comprimidos e arquivados antes da transmissão. O Calisto demonstra capacidades de evasão ao renomear seus componentes para imitar processos legítimos do macOS ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]) e ocultar arquivos e diretórios ([[t1564-001-hidden-files-and-directories|T1564.001]]). A atribuição do Calisto permanece incerta, embora análises estruturais sugiram ligações com grupos de ameaça avançados com capacidade de desenvolvimento para macOS. O malware foi identificado como uma versão mais primitiva do backdoor Backdoor.OSX.Calisto, possívelmente nunca tendo atingido maturidade operacional completa antes de ser descoberto por pesquisadores da Kaspersky em 2018. **Plataformas:** macOS ## Técnicas Utilizadas - [[t1543-001-launch-agent|T1543.001 - Launch Agent]] - [[t1217-browser-information-discovery|T1217 - Browser Information Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1056-002-gui-input-capture|T1056.002 - GUI Input Capture]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1569-001-launchctl|T1569.001 - Launchctl]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1555-001-keychain|T1555.001 - Keychain]] - [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1098-account-manipulation|T1098 - Account Manipulation]] - [[t1136-001-local-account|T1136.001 - Local Account]] ## Detecção - Monitorar criação de Launch Agents em `~/Library/LaunchAgents/` por processos não assinados ([[t1543-001-launch-agent|T1543.001]]) - Detectar acesso anômalo ao Keychain do macOS por aplicações não autorizadas ([[t1555-001-keychain|T1555.001]]) - Alertar sobre captura de input via GUI fora de contextos esperados ([[t1056-002-gui-input-capture|T1056.002]]) - Monitorar criação de arquivos comprimidos em diretórios temporários seguida de tráfego HTTP de saída ([[t1560-001-archive-via-utility|T1560.001]]) - Regra Sigma: detecção de launchctl com argumentos de load em caminhos de usuário não padrão ## Relevância LATAM/Brasil O [[s0274-calisto|Calisto]] representa uma ameaça relevante para usuários de macOS no Brasil, especialmente profissionais e executivos que utilizam plataformas Apple. Embora não hajá campanhas específicas documentadas contra alvos brasileiros, o crescimento da adoção de macOS em ambientes corporativos brasileiros aumenta a superfície de ataque. A capacidade do malware de capturar credenciais via GUI e roubar cookies de navegadores é especialmente relevante para usuários de serviços bancários e corporativos brasileiros. O perfil de espionagem do Calisto pode ser adaptado por grupos com interesse em alvos governamentais ou corporativos no Brasil. ## Referências - [MITRE ATT&CK - S0274](https://attack.mitre.org/software/S0274)