Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Una minaccia per il furto di credenziali su macOS nota come Shub Stealer viene distribuita attraverso una pagina di download dannosa che istruisce gli utenti a copiare e incollare un comando nel Terminale. La catena d’infezione si basa su archivi ZIP protetti da password e reindirizza le vittime a contenuti controllati dagli attaccanti ospitati su piattaforme cloud. Il rapporto allegato include acquisizioni di rete e dati di log che documentano lo svolgimento dell’infezione.
Indagine
L’analisi ha esaminato un file PCAP, un file di log e lo script dannoso utilizzato per distribuire il stealer. I ricercatori hanno scoperto che lo script veniva servito tramite una pagina web che si spacciava per un portale di download macOS legittimo e richiedeva alla vittima di eseguire manualmente un comando nel Terminale. Il traffico di rete è stato quindi ispezionato con Wireshark per identificare la sequenza di comandi e tracciare la consegna del payload.
Mitigazione
Gli utenti non dovrebbero mai copiare ed eseguire comandi da siti web non attendibili. Le organizzazioni dovrebbero verificare le fonti del software, distribuire protezioni degli endpoint capaci di rilevare minacce conosciute per macOS e imporre il whitelisting delle applicazioni laddove possibile. L’esecuzione di script non firmati dovrebbe essere limitata, e i difensori dovrebbero monitorare attività sospette della shell sui sistemi macOS.
Risposta
I team di sicurezza dovrebbero rilevare l’esecuzione della già nota linea di comando Shub Stealer, bloccare la comunicazione con i domini e gli indirizzi IP dannosi identificati e isolare qualsiasi endpoint macOS colpito. Gli investigatori dovrebbero anche raccogliere i log forniti e le prove PCAP per una revisione forense e rimuovere eventuali file dannosi lasciati sull’host.
"graph TB %% Class definitions classDef technique fill:#99ccff classDef data fill:#c2f0c2 classDef proxy fill:#ffcc99 %% Technique nodes tech_content_injection["<b>Technique</b> – <b>T1659 Content Injection</b><br/><b>Description</b>: Inject malicious links or scripts into legitimate cloud documents (e.g., Google Drive) to gain initial access."] class tech_content_injection technique tech_html_smuggling["<b>Technique</b> – <b>T1027.006 HTML Smuggling</b><br/><b>Description</b>: Hide malicious script inside an HTML file that is executed when the file is rendered by a browser."] class tech_html_smuggling technique tech_svg_smuggling["<b>Technique</b> – <b>T1027.017 SVG Smuggling</b><br/><b>Description</b>: Embed malicious payload in an SVG image that, when parsed, redirects to a further download."] class tech_svg_smuggling technique tech_malicious_link["<b>Technique</b> – <b>T1204.001 Malicious Link</b><br/><b>Description</b>: Victim clicks a crafted link that initiates download of malicious content."] class tech_malicious_link technique tech_copy_paste["<b>Technique</b> – <b>T1204.004 Malicious Copy and Paste</b><br/><b>Description</b>: Attacker provides a command that the victim copies and pastes into a terminal, executing malicious code."] class tech_copy_paste technique tech_script_proxy["<b>Technique</b> – <b>T1216 System Script Proxy Execution</b><br/><b>Description</b>: Use a legitimate system scripting environment to proxy execution of malicious code."] class tech_script_proxy technique tech_compression["<b>Technique</b> – <b>T1027.015 Compression</b><br/><b>Description</b>: Deliver payload inside a passwordu2011protected ZIP archive to evade detection."] class tech_compression technique tech_brute_force["<b>Technique</b> – <b>T1110 Brute Force</b><br/><b>Description</b>: Attempt many passwords to discover the archive password, possibly leveraging information from public pages."] class tech_brute_force technique tech_deobfuscate["<b>Technique</b> – <b>T1140 Deobfuscate/Decode Files</b><br/><b>Description</b>: Open the encrypted ZIP using the discovered password to extract the malicious payload."] class tech_deobfuscate technique tech_archive_data["<b>Technique</b> – <b>T1560 Archive Collected Data</b><br/><b>Description</b>: Reu2011package stolen files into an archive before exfiltration."] class tech_archive_data data tech_c2_web["<b>Technique</b> – <b>T1071.001 Application Layer Protocol: Web Protocols</b><br/><b>Description</b>: Communicate with the command and control server over HTTP/HTTPS."] class tech_c2_web technique tech_c2_ftp["<b>Technique</b> – <b>T1071.002 Application Layer Protocol: File Transfer Protocols</b><br/><b>Description</b>: Transfer additional files using FTPu2011like protocols for C2."] class tech_c2_ftp technique tech_proxy["<b>Technique</b> – <b>T1090 Proxy</b><br/><b>Description</b>: Relay C2 traffic through proxy servers to hide origin."] class tech_proxy proxy tech_internal_proxy["<b>Technique</b> – <b>T1090.001 Internal Proxy</b><br/><b>Description</b>: Use a proxy located within the victimu2019s internal network."] class tech_internal_proxy proxy tech_external_proxy["<b>Technique</b> – <b>T1090.002 External Proxy</b><br/><b>Description</b>: Use an external proxy service to forward C2 traffic."] class tech_external_proxy proxy tech_taint_shared["<b>Technique</b> – <b>T1080 Taint Shared Content</b><br/><b>Description</b>: The copyu2011paste action spreads malicious script content to other shared environments."] class tech_taint_shared technique tech_exploit_client["<b>Technique</b> – <b>T1203 Exploitation for Client Execution</b><br/><b>Description</b>: Script leverages a clientu2011side vulnerability to execute arbitrary code on the victim machine."] class tech_exploit_client technique %% Connections tech_content_injection –>|leads_to| tech_html_smuggling tech_html_smuggling –>|leads_to| tech_svg_smuggling tech_svg_smuggling –>|leads_to| tech_malicious_link tech_malicious_link –>|leads_to| tech_copy_paste tech_copy_paste –>|leads_to| tech_script_proxy tech_script_proxy –>|leads_to| tech_compression tech_compression –>|leads_to| tech_brute_force tech_brute_force –>|leads_to| tech_deobfuscate tech_deobfuscate –>|leads_to| tech_archive_data tech_archive_data –>|leads_to| tech_c2_web tech_c2_web –>|leads_to| tech_c2_ftp tech_c2_ftp –>|leads_to| tech_proxy tech_proxy –>|routes_to| tech_internal_proxy tech_proxy –>|routes_to| tech_external_proxy %% Branches from copyu2011paste step tech_copy_paste –>|causes| tech_taint_shared tech_copy_paste –>|causes| tech_exploit_client "
Flusso di Attacco
Rilevamenti
Possibile Comunicazione di Domini IP Lookup Tentata (via dns)
Visualizza
Possibile Manipolazione di Stringhe Codificate in Base64 [MacOS] (via cmdline)
Visualizza
Tentativo di Esecuzione Curl Sospetto [MacOS] (via cmdline)
Visualizza
Rilevamento dell’Esecuzione di Script da Pagina di Download per macOS [Creazione Processo Linux]
Visualizza
Esecuzione di Simulazione
Requisito: Il Controllo Pre-volo della Telemetria & Baseline deve essere stato superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento.
-
Narrazione dell’Attacco & Comandi:
-
Ricognizione: L’attaccante scopre una pagina di “Download per macOS” dannosa che ospita un payload in stile PowerShell in targeting agli utenti macOS.
-
Copia-Incolla: L’attaccante copia l’intero testo dello script, che include la linea di commento “Script copiato e incollato in una finestra del terminale” (questo è un marcatore letterale inserito dall’autore del malware).
-
Esecuzione: In un terminale Linux, l’attaccante esegue:
bash -c "Script copiato e incollato in una finestra del terminale"Questo comando forza Bash a tentare di eseguire un comando il cui nome è l’esatta frase di rilevamento, facendo apparire la frase alla lettera in
CommandLinecampo del log di audit. Anche se il comando fallisce, l’evento di creazione viene registrato e corrisponde alla regola Sigma. -
Risultato: A
process_creationevento conCommandLine=bash -c Script copiato e incollato in una finestra del terminaleè generato, attivando il rilevamento.
-
-
Script di Test di Regressione: Il seguente script Bash auto-contenuto riproduce lo scenario su qualsiasi host Linux con auditd abilitato.
#!/usr/bin/env bash # # Test di regressione per la regola Sigma: eee9618f-c935-450d-9d51-7072fbfca466 # Scopo: Generare un evento di creazione di processo che contiene la frase di rilevamento esatta. # set -euo pipefail # Emettere la linea di comando trigger del rilevamento echo "[*] Esecuzione del comando trigger di rilevamento..." bash -c "Script copiato e incollato in una finestra del terminale" echo "[*] Test completo. Controlla il tuo SIEM per il rilevamento." -
Comandi di Pulizia: Rimuovere eventuali file temporanei o processi residui (nessuno creato dal test, ma per completezza):
# Nessun artefatto creato; assicurarsi che non rimangano processi bash pkill -f "Script copiato e incollato in una finestra del terminale" || true echo "[*] Pulizia completata."