# Cryptoistic > Tipo: **malware** · S0498 · [MITRE ATT&CK](https://attack.mitre.org/software/S0498) ## Descrição [[s0498-cryptoistic|Cryptoistic]] é um backdoor incomum escrito em Swift - linguagem nativa do ecossistema Apple - utilizado pelo [[g0032-lazarus-group|Lazarus Group]] em operações direcionadas a sistemas macOS. A escolha da linguagem Swift reflete a sofisticação crescente do arsenal do [[g0032-lazarus-group|Lazarus Group]], que historicamente focou em Windows, mas tem expandido suas capacidades para macOS em campanhas voltadas a profissionais de finanças e criptoativos. O backdoor utiliza um canal de comunicação criptografado via [[t1573-encrypted-channel|Encrypted Channel]] e protocolo de rede customizado via [[t1095-non-application-layer-protocol|Non-Application Layer Protocol]], dificultando a detecção por ferramentas de inspeção de tráfego convencionais. Entre suas capacidades operacionais destacam-se: exfiltração de dados locais via [[t1005-data-from-local-system|Data from Local System]], realização de descoberta de arquivos via [[t1083-file-and-directory-discovery|File and Directory Discovery]], identificação do usuário comprometido via [[t1033-system-owneruser-discovery|System Owner/User Discovery]], e remoção de rastros via [[t1070-004-file-deletion|File Deletion]] após conclusão das operações. **Plataformas:** macOS ## Técnicas Utilizadas - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1573-encrypted-channel|T1573 - Encrypted Channel]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Referências - [MITRE ATT&CK - S0498](https://attack.mitre.org/software/S0498)