Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Die AppleScript-Malware-Kampagne zielt mit einer ClickFix-Technik auf macOS-Nutzer ab, indem sie sie dazu ermutigt, manuell base64-dekodierte Shell-Befehle im Terminal auszuführen. Diese Befehle rufen einen AppleScript-Stealer ab, der Browserdaten, Kryptowährungs-Wallets, lokale Dokumente und andere sensible Informationen erfasst und dann an serverseitig kontrollierte Angreifer überträgt. Da kein traditionelles Binary auf die Festplatte geschrieben wird, ist die Aktivität schwieriger mit klassischer AV zu erkennen. Die Operation basiert auf mehreren täuschenden Domains und ungewöhnlichen Service-Ports für den Command-and-Control-Verkehr.
Analyse der AppleScript-Kampagne
Forscher untersuchten die Phishing-Websites, das für die Bereitstellung der Nutzlast verantwortliche JavaScript und das zur Sammlung und Exfiltration verwendete AppleScript. Die Infrastrukturkartierung entdeckte Domains wie cryptoinfo-news.com and odyssey1.to, zusammen mit Diensten, die über die Ports 22, 80, 3333 und 5201 verfügbar sind. Die AppleScript-Nutzlast verpackt gestohlene Daten in eine ZIP-Datei unter /tmp/out.zip und verwendet curl, um sie an einen entfernten Endpunkt hochzuladen.
Minderung
Verteidiger sollten identifizierte bösartige Domains blockieren und ausgehende Verbindungen über ungewöhnliche Ports beschränken. Stärken Sie macOS-Systeme, indem Sie die Verwendung von AppleScript und Shell einschränken, nach base64-d | bash Ausführungsmustern überwachen und strenge CORS-Kontrollen in Web-Umgebungen anwenden. Sicherheitsschulungen sollten Phishing-Seiten hervorheben, die Benutzer dazu auffordern, Terminal-Befehle zu kopieren und auszuführen.
Reaktion
Wenn diese Indikatormuster erkannt werden, benachrichtigen Sie das SOC, isolieren Sie das betroffene System und erfassen Sie temporäre Artefakte und die Shell-Historie. Führen Sie eine forensische Überprüfung des /tmp -Verzeichnisses durch, isolieren Sie verdächtige ZIP-Archive und korrelieren Sie den ausgehenden Verkehr mit den bekannten C2-Servern und -Ports, die in der Kampagne identifiziert wurden.
mermaid graph TB %% Class definitions classDef technique fill:#e0f7fa %% Node definitions initial_access[„<b>Initialer Zugriff</b> – <b>T1659 Inhaltseinschleusung</b>: Opfer laden Phishing-Seite, die bösartigen Befehl einschleust.“] class initial_access technique execution_copy_paste[„<b>Ausführung</b> – <b>T1204.004 Benutzerausführung: Bösartiges Kopieren und Einfügen</b>: Benutzer kopiert base64-Befehl und führt ihn im Terminal aus.“] class execution_copy_paste technique execution_proxy[„<b>Ausführung</b> – <b>T1127 Vertrauenswürdige Entwickler-Utilities Proxy-Ausführung</b>: Dekodiert und führt AppleScript über native macOS-Utilities aus.“] class execution_proxy technique execution_xpc[„<b>Ausführung</b> – <b>T1559.003 Inter-Prozess-Kommunikation: XPC-Services</b>: AppleScript nutzt XPC für interne Aufrufe.“] class execution_xpc technique collection_browser_disc[„<b>Sammlung</b> – <b>T1217 Browser-Informationsentdeckung</b>: AppleScript enumeriert Firefox- und Chromium-Profile.“] class collection_browser_disc technique collection_creds[„<b>Sammlung</b> – <b>T1555.003 Anmeldedaten aus Passwortspeichern: Web-Browser</b>: Stiehlt Cookies, gespeicherte Anmeldungen, Kryptowährungs-Wallet-Daten.“] class collection_creds technique archive[„<b>Sammlung</b> – <b>T1560.001 Archivierung über Utility</b>: Verpackt Dateien in ZIP mit Ditto.“] class archive technique exfiltration[„<b>Exfiltration</b> – <b>T1020 Automatisierte Exfiltration</b>: Lädt ZIP über curl an Angreiferserver hoch.“] class exfiltration technique c2_web[„<b>Befehl und Kontrolle</b> – <b>T1102 Webdienst</b>: Kommuniziert über HTTP mit C2 mit permissivem CORS.“] class c2_web technique c2_ssh[„<b>Befehl und Kontrolle</b> – <b>T1021.004 Remote-Services: SSH</b>: Angreifer behält SSH-Zugang für weitere Kontrolle.“] class c2_ssh technique defense_compress[„<b>Abwehrumgehung</b> – <b>T1027.015 Kompression</b>: Verwendet Kompression, um Nutzlastdaten zu verbergen.“] class defense_compress technique defense_file_delete[„<b>Abwehrumgehung</b> – <b>T1070.004 Dateilöschung</b>: Entfernt temporäre Verzeichnisse und Archive.“] class defense_file_delete technique credential_cookie[„<b>Anmeldeinformationenzugriff</b> – <b>T1539 Web-Session-Cookie stehlen</b>: Verwendet gestohlene Cookies, um Sitzungen zu kapern.“] class credential_cookie technique %% Connections initial_access u002du002d>|führt zu| execution_copy_paste execution_copy_paste u002du002d>|führt zu| execution_proxy execution_proxy u002du002d>|verwendet| execution_xpc execution_proxy u002du002d>|sammelt| collection_browser_disc collection_browser_disc u002du002d>|sammelt| collection_creds collection_creds u002du002d>|archiviert| archive archive u002du002d>|exfiltriert| exfiltration exfiltration u002du002d>|verwendet| c2_web c2_web u002du002d>|Fallback| c2_ssh exfiltration u002du002d>|deckt Spuren ab| defense_compress exfiltration u002du002d>|deckt Spuren ab| defense_file_delete collection_creds u002du002d>|ermöglicht| credential_cookie
Angriffsablauf
Erkennungen
Erkennung des bösartigen Einsatzes von Curl zur Daten-Exfiltration auf macOS [Windows-Prozesserstellung]
Ansehen
Erkennung von Base64-Dekodierung und Bash-Ausführung auf macOS [Linux-Prozesserstellung]
Ansehen
IOCs (SourceIP) zur Erkennung: Der vollständige Leitfaden zum Aufspüren von Cobalt Strike – Teil 2: 10+ HuntSQL-Rezepte zum Finden von Cobalt Strike
Ansehen
IOCs (DestinationIP) zur Erkennung: Der vollständige Leitfaden zum Aufspüren von Cobalt Strike – Teil 2: 10+ HuntSQL-Rezepte zum Finden von Cobalt Strike
Ansehen
Atomare macOS-Stealer – FileGrabber-Aktivität
Ansehen
Ansehen
Simulationsdurchführung
Voraussetzung: Die Telemetrie & Baseline Pre-Flight Check muss bestanden haben.
Begründung: In diesem Abschnitt werden die präzise Ausführung der Angriffstechnik (TTP) erläutert, die zur Auslösung der Erkennungsregel entwickelt wurde. Die Befehle und Erzählungen spiegeln direkt die identifizierten TTPs wider und sollen die genaue Telemetrie erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
-
Der Angreifer sendet eine Phishing-E-Mail mit der Einzeiler:
echo "cHJpbnQoJ0NhdXNlJykK" | base64 -d | bash(Die Nutzlast dekodiert zu
print('Cause')– ein Platzhalter für jedes bösartige Bash-Skript.) -
Ein ahnungsloser Benutzer kopiert die Zeile und fügt sie in das Terminal ein.
-
macOS erstellt einen
bash-Prozess, dessen Befehlszeilegenaudem Muster entsprichtbase64 -d | bash, wodurch die Sigma-Regelauswahl. -
erfüllt wird. Der Bash-Interpreter führt die dekodierte Nutzlast aus, wodurch die bösartige Aktion abgeschlossen wird (z.B. Aufbau einer Reverse-Shell, Herunterladen zusätzlicher Tools).
-
-
Regressionstest-Skript: Das unten stehende Skript automatisiert die Schritte 1-3 und reproduziert die notwendige Telemetrie zur Validierung.
#!/bin/bash # ------------------------------------------------- # Simulate macOS Base64‑decode‑and‑Bash execution # ------------------------------------------------- # Base64‑encoded payload (prints “Compromise”) PAYLOAD="cHJpbnQoJ0NvbXByb21pc2UnKQ==" # Execute the one‑liner exactly as an attacker would echo "$PAYLOAD" | base64 -d | bash # Exit with the status of the Bash command exit $? -
Bereinigungskommandos: Entfernen Sie alle temporären Dateien oder Hintergrundprozesse, die durch die Nutzlast erstellt worden sein könnten (falls erforderlich, mit payload-spezifischer Bereinigung ersetzen).
#!/bin/bash # Einfache Bereinigung – sicherstellen, dass keine streunenden Bash-Prozesse übrig bleiben pkill -f "base64 -d | bash" 2>/dev/null # Wenn die Nutzlast Dateien erstellt hat, löschen Sie sie (Beispiel-Platzhalter) rm -f /tmp/malicious_script.sh 2>/dev/null