s1016-macma - RunkIntel

# MacMa > Tipo: **malware** · S1016 · [MITRE ATT&CK](https://attack.mitre.org/software/S1016) ## Descrição [[s1016-macma|MacMa]] (também rastreado como OSX.CDDS e DazzleSpy) é um backdoor sofisticado para macOS com amplo conjunto de funcionalidades de espionagem e controle remoto, atribuído ao grupo [[g1034-daggerfly|Daggerfly]] (APT41/Bronze Atlas nexo China). O malware compartilha infraestrutura de C2 e bibliotecas únicas com o [[s1146-mgbot|MgBot]] e o [[s1147-nightdoor|Nightdoor]], confirmando a atribuição ao Daggerfly e demonstrando um arsenal multi-plataforma coordenado. O MacMa realiza captura de áudio do microfone ([[t1123-audio-capture|T1123]]), capturas de tela ([[t1113-screen-capture|T1113]]), acessa o Keychain do macOS para roubo de credenciais armazenadas ([[t1555-001-keychain|T1555.001]]) e coleta dados do sistema local ([[t1005-data-from-local-system|T1005]]). A persistência é garantida via Launch Agent ([[t1543-001-launch-agent|T1543.001]]), mecanismo nativo de auto-start do macOS. O backdoor usa protocolo não-aplicação ([[t1095-non-application-layer-protocol|T1095]]) para comunicação C2 e limpa logs do sistema macOS após exfiltração ([[t1070-002-clear-linux-or-mac-system-logs|T1070.002]]). O acesso a serviços remotos ([[t1021-remote-services|T1021]]) permite movimentação lateral em redes que usam macOS. A descoberta do MacMa em 2021 foi inicialmente associada a um watering hole que explorava uma vulnerabilidade WebKit zero-day contra visitantes de sites pró-democracia de Hong Kong, revelando o uso de técnicas de acesso inicial sofisticadas combinadas com malware avançado para macOS - plataforma historicamente sub-representada em análises de APT. **Plataformas:** macOS ## Técnicas Utilizadas - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1543-001-launch-agent|T1543.001 - Launch Agent]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1070-002-clear-linux-or-mac-system-logs|T1070.002 - Clear Linux or Mac System Logs]] - [[t1021-remote-services|T1021 - Remote Services]] - [[t1106-native-api|T1106 - Native API]] - [[t1123-audio-capture|T1123 - Audio Capture]] - [[t1555-001-keychain|T1555.001 - Keychain]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] ## Grupos que Usam - [[g1034-daggerfly|Daggerfly]] ## Detecção - **[[ds-0017-command|Command Execution]]** - Monitorar criação de Launch Agents via `launchctl` por processos que não sejam instaladores de software legítimos - mecanismo de persistência primário do MacMa em macOS. - **[[ds-0015-application-log|Application Log Content]]** - Detectar acesso ao Keychain por processos não autorizados via logs de auditoria do macOS - o MacMa extrai credenciais armazenadas no Keychain. - **[[ds-0029-network-traffic|Network Traffic Content]]** - Alertar para streams de áudio de saída não autorizados ou conexões persistentes de processos desconhecidos - indicativo de captura de microfone pelo MacMa. ```sigma title: MacMa Persistence via Launch Agent status: experimental logsource: category: process_creation product: macos detection: selection: Image: '/bin/launchctl' CommandLine|contains: 'load' ParentImage|contains|all: - '/Users/' condition: selection falsepositives: - Legitimaté software installation by user-run installers level: medium tags: - attack.persistence - attack.t1543.001 - code/distill ``` ## Relevância LATAM/Brasil O [[g1034-daggerfly|Daggerfly]], operador do MacMa, é um ator de espionagem chinês com foco em alvos de alto valor geopolítico. O uso de malware macOS representa a expansão das capacidades do grupo para atacar usuários Apple - executivos, jornalistas e funcionários de organizações de interesse - que frequentemente acreditam erroneamente que macOS é imune a ataques direcionados. Profissionais brasileiros de alto perfil usando macOS são potenciais alvos desta categoria de ameaça. ## Referências - [MITRE ATT&CK - S1016](https://attack.mitre.org/software/S1016) - [ESET - Daggerfly: Espionage Group Makes Largely Undetected Updates to Toolset](https://www.welivesecurity.com/en/eset-research/daggerfly-espionage-group-makes-largely-undetected-updates-to-toolset/)