SOC Prime Bias: Medio

12 May 2026 18:04
newspaper icon malware-traffic-analysis.net

Aviso de Infección Shub Stealer para macOS

Author Photo
Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime linkedin icon Seguir
Aviso de Infección Shub Stealer para macOS
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Una amenaza para macOS que roba credenciales, conocida como Shub Stealer, se está distribuyendo a través de una página de descarga maliciosa que instruye a los usuarios a copiar y pegar un comando en Terminal. La cadena de infección depende de archivos ZIP protegidos con contraseña y redirige a las víctimas a contenido controlado por atacantes alojado en plataformas en la nube. El informe adjunto incluye capturas de red y datos de registros que documentan cómo se desarrolla la infección.

Investigación

El análisis revisó un archivo PCAP, un archivo de registro y el script malicioso utilizado para desplegar el stealer. Los investigadores encontraron que el script se servía a través de una página web que se hacía pasar por un portal legítimo de descarga de macOS y requería que la víctima ejecutara manualmente un comando en Terminal. Luego, el tráfico de red fue inspeccionado en Wireshark para identificar la secuencia de comandos y rastrear la entrega de la carga útil.

Mitigación

Los usuarios nunca deben copiar y ejecutar comandos de sitios web no confiables. Las organizaciones deben verificar las fuentes del software, desplegar protección en el endpoint capaz de detectar amenazas conocidas en macOS y hacer cumplir la lista de aplicaciones permitidas siempre que sea posible. La ejecución de scripts no firmados debe restringirse, y los defensores deben monitorear la actividad sospechosa del shell en sistemas macOS.

Respuesta

Los equipos de seguridad deben detectar la ejecución del comando de línea de Shub Stealer conocido, bloquear la comunicación con los dominios e IPs maliciosas identificadas y aislar cualquier endpoint de macOS afectado. Los investigadores también deben recopilar los registros proporcionados y las pruebas PCAP para revisión forense y eliminar cualquier archivo malicioso dejado en el host.

"graph TB %% Class definitions classDef technique fill:#99ccff classDef data fill:#c2f0c2 classDef proxy fill:#ffcc99 %% Technique nodes tech_content_injection["<b>Técnica</b> – <b>T1659 Inyección de Contenido</b><br/><b>Descripción</b>: Inyectar enlaces o scripts maliciosos en documentos en la nube legítimos (por ejemplo, Google Drive) para obtener acceso inicial."] class tech_content_injection technique tech_html_smuggling["<b>Técnica</b> – <b>T1027.006 Contrabando de HTML</b><br/><b>Descripción</b>: Ocultar script malicioso dentro de un archivo HTML que se ejecuta cuando el archivo es renderizado por un navegador."] class tech_html_smuggling technique tech_svg_smuggling["<b>Técnica</b> – <b>T1027.017 Contrabando de SVG</b><br/><b>Descripción</b>: Incrustar carga útil maliciosa en una imagen SVG que, cuando se analiza, redirige a una descarga adicional."] class tech_svg_smuggling technique tech_malicious_link["<b>Técnica</b> – <b>T1204.001 Enlace Malicioso</b><br/><b>Descripción</b>: La víctima hace clic en un enlace elaborado que inicia la descarga de contenido malicioso."] class tech_malicious_link technique tech_copy_paste["<b>Técnica</b> – <b>T1204.004 Copiar y Pegar Malicioso</b><br/><b>Descripción</b>: El atacante proporciona un comando que la víctima copia y pega en un terminal, ejecutando código malicioso."] class tech_copy_paste technique tech_script_proxy["<b>Técnica</b> – <b>T1216 Ejecución por Proxy de Script del Sistema</b><br/><b>Descripción</b>: Usar un entorno de scripting del sistema legítimo para ejecutar código malicioso por proxy."] class tech_script_proxy technique tech_compression["<b>Técnica</b> – <b>T1027.015 Compresión</b><br/><b>Descripción</b>: Entregar la carga útil dentro de un archivo ZIP protegido por contraseña para evadir la detección."] class tech_compression technique tech_brute_force["<b>Técnica</b> – <b>T1110 Ataque de Fuerza Bruta</b><br/><b>Descripción</b>: Intentar muchas contraseñas para descubrir la contraseña del archivo, posiblemente aprovechando información de páginas públicas."] class tech_brute_force technique tech_deobfuscate["<b>Técnica</b> – <b>T1140 Desofuscar/Decodificar Archivos</b><br/><b>Descripción</b>: Abrir el archivo ZIP cifrado usando la contraseña descubierta para extraer la carga útil maliciosa."] class tech_deobfuscate technique tech_archive_data["<b>Técnica</b> – <b>T1560 Archivar Datos Recopilados</b><br/><b>Descripción</b>: Reempaquetar archivos robados en un archivo antes de la exfiltración."] class tech_archive_data data tech_c2_web["<b>Técnica</b> – <b>T1071.001 Protocolo de Capa de Aplicación: Protocolos Web</b><br/><b>Descripción</b>: Comunicarse con el servidor de comando y control a través de HTTP/HTTPS."] class tech_c2_web technique tech_c2_ftp["<b>Técnica</b> – <b>T1071.002 Protocolo de Capa de Aplicación: Protocolos de Transferencia de Archivos</b><br/><b>Descripción</b>: Transferir archivos adicionales usando protocolos similares a FTP para C2."] class tech_c2_ftp technique tech_proxy["<b>Técnica</b> – <b>T1090 Proxy</b><br/><b>Descripción</b>: Reenviar el tráfico de C2 a través de servidores proxy para ocultar el origen."] class tech_proxy proxy tech_internal_proxy["<b>Técnica</b> – <b>T1090.001 Proxy Interno</b><br/><b>Descripción</b>: Usar un proxy ubicado dentro de la red interna de la víctima."] class tech_internal_proxy proxy tech_external_proxy["<b>Técnica</b> – <b>T1090.002 Proxy Externo</b><br/><b>Descripción</b>: Usar un servicio de proxy externo para reenviar el tráfico de C2."] class tech_external_proxy proxy tech_taint_shared["<b>Técnica</b> – <b>T1080 Contaminación de Contenido Compartido</b><br/><b>Descripción</b>: La acción de copiar y pegar propaga contenido de script malicioso a otros entornos compartidos."] class tech_taint_shared technique tech_exploit_client["<b>Técnica</b> – <b>T1203 Explotación para Ejecución en Cliente</b><br/><b>Descripción</b>: Script aprovecha una vulnerabilidad del lado del cliente para ejecutar código arbitrario en la máquina de la víctima."] class tech_exploit_client technique %% Conexiones tech_content_injection –>|conduce_a| tech_html_smuggling tech_html_smuggling –>|conduce_a| tech_svg_smuggling tech_svg_smuggling –>|conduce_a| tech_malicious_link tech_malicious_link –>|conduce_a| tech_copy_paste tech_copy_paste –>|conduce_a| tech_script_proxy tech_script_proxy –>|conduce_a| tech_compression tech_compression –>|conduce_a| tech_brute_force tech_brute_force –>|conduce_a| tech_deobfuscate tech_deobfuscate –>|conduce_a| tech_archive_data tech_archive_data –>|conduce_a| tech_c2_web tech_c2_web –>|conduce_a| tech_c2_ftp tech_c2_ftp –>|conduce_a| tech_proxy tech_proxy –>|rutas_hacia| tech_internal_proxy tech_proxy –>|rutas_hacia| tech_external_proxy %% Ramas desde el paso de copiar y pegar tech_copy_paste –>|causa| tech_taint_shared tech_copy_paste –>|causa| tech_exploit_client "

Flujo de Ataque

Ejecución de Simulación

Requisito previo: La Verificación Previa de Telemetría y Línea Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa y Comandos de Ataque:

    1. Reconocimiento: El atacante descubre una página maliciosa “Descargar para macOS” que aloja una carga útil en estilo PowerShell dirigida a usuarios de macOS.

    2. Copiar-Pegar: El atacante copia todo el texto del script, que incluye la línea de comentario “Script copiado y pegado en una ventana de terminal” (esto es un marcador literal insertado por el autor del malware).

    3. Ejecución: En un terminal de Linux, el atacante ejecuta:

      bash -c "Script copiado y pegado en una ventana de terminal"

      Este comando fuerza a Bash a intentar ejecutar un comando cuyo nombre es la frase de detección exacta, haciendo que la frase aparezca literalmente en el Campo de Línea de Comando del registro de auditoría. Incluso si el comando falla, el evento de creación se registra y coincide con la regla Sigma.

    4. Resultado: A Creación de proceso evento con Campo de Línea de Comando = bash -c Script copiado y pegado en una ventana de terminal se genera, activando la detección.

  • Script de Prueba de Regresión: El siguiente script de Bash autocontenido reproduce el escenario en cualquier host de Linux con auditd habilitado.

    #!/usr/bin/env bash
#
# Prueba de regresión para la regla Sigma: eee9618f-c935-450d-9d51-7072fbfca466
# Propósito: Emitir un evento de creación de proceso que contenga la frase de detección exacta.
#
set -euo pipefail

# Emitir la línea de comando que activa la detección
echo "[*] Ejecutando comando que activa la detección..."
bash -c "Script copiado y pegado en una ventana de terminal"

echo "[*] Prueba completada. Comprueba tu SIEM para detectar."

  • Comandos de Limpieza: Eliminar cualquier archivo temporal o procesos residuales (ninguno creado por la prueba, pero por completitud):

    # No se crean artefactos; asegurar que no queden procesos bash deambulando
pkill -f "Script copiado y pegado en una ventana de terminal" || true
echo "[*] Limpieza completada."

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis