SOC Prime Bias: Moyen

12 Mai 2026 18:04
newspaper icon malware-traffic-analysis.net

Avis d’Infection par Shub Stealer pour macOS

Author Photo
Ruslan Mikhalov Chef de la Recherche sur les Menaces chez SOC Prime linkedin icon Suivre
Avis d’Infection par Shub Stealer pour macOS
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Résumé

Une menace de vol d’informations d’identification macOS connue sous le nom de Shub Stealer est distribuée via une page de téléchargement malveillante qui incite les utilisateurs à copier et coller une commande dans Terminal. La chaîne d’infection repose sur des archives ZIP protégées par mot de passe et redirige les victimes vers du contenu contrôlé par les attaquants hébergé sur des plateformes cloud. Le rapport accompagnant inclut des captures réseau et des journaux de données qui documentent comment l’infection se déroule.

Enquête

L’analyse a examiné un fichier PCAP, un fichier de journal et le script malveillant utilisé pour déployer le stealer. Les chercheurs ont découvert que le script était servi via une page web se présentant comme un portail de téléchargement macOS légitime et nécessitait que la victime exécute manuellement une commande dans Terminal. Le trafic réseau a ensuite été inspecté dans Wireshark pour identifier la séquence de commandes et suivre la livraison du charge utile.

Atténuation

Les utilisateurs ne devraient jamais copier et exécuter des commandes depuis des sites non fiables. Les organisations devraient vérifier les sources logicielles, déployer une protection des points de terminaison capable de détecter les menaces macOS connues et appliquer une liste blanche d’applications autant que possible. L’exécution de scripts non signés devrait être restreinte, et les défenseurs devraient surveiller toute activité suspecte de shell sur les systèmes macOS.

Réponse

Les équipes de sécurité devraient détecter l’exécution de la ligne de commande Shub Stealer connue, bloquer la communication avec les domaines et adresses IP malveillants identifiés, et isoler tout point de terminaison macOS affecté. Les enquêteurs devraient également collecter les journaux fournis et les preuves PCAP pour un examen judiciaire et supprimer tout fichier malveillant laissé sur l’hôte.

"graph TB %% Class definitions classDef technique fill:#99ccff classDef data fill:#c2f0c2 classDef proxy fill:#ffcc99 %% Technique nodes tech_content_injection["<b>Technique</b> – <b>T1659 Injection de contenu</b><br/><b>Description</b> : Injecter des liens ou scripts malveillants dans des documents cloud légitimes (par exemple, Google Drive) pour obtenir l’accès initial."] class tech_content_injection technique tech_html_smuggling["<b>Technique</b> – <b>T1027.006 Détournement HTML</b><br/><b>Description</b> : Cacher un script malveillant dans un fichier HTML qui est exécuté lorsque le fichier est rendu par un navigateur."] class tech_html_smuggling technique tech_svg_smuggling["<b>Technique</b> – <b>T1027.017 Détournement SVG</b><br/><b>Description</b> : Intégrer une charge malveillante dans une image SVG qui, une fois analysée, redirige vers un téléchargement supplémentaire."] class tech_svg_smuggling technique tech_malicious_link["<b>Technique</b> – <b>T1204.001 Lien malveillant</b><br/><b>Description</b> : La victime clique sur un lien conçu qui initie le téléchargement de contenu malveillant."] class tech_malicious_link technique tech_copy_paste["<b>Technique</b> – <b>T1204.004 Copie et collage malveillant</b><br/><b>Description</b> : L’attaquant fournit une commande que la victime copie et colle dans un terminal, exécutant un code malveillant."] class tech_copy_paste technique tech_script_proxy["<b>Technique</b> – <b>T1216 Exécution par proxy de script système</b><br/><b>Description</b> : Utiliser un environnement de script système légitime pour proxy l’exécution de code malveillant."] class tech_script_proxy technique tech_compression["<b>Technique</b> – <b>T1027.015 Compression</b><br/><b>Description</b> : Livrer une charge utile à l’intérieur d’une archive ZIP protégée par mot de passe pour échapper à la détection."] class tech_compression technique tech_brute_force["<b>Technique</b> – <b>T1110 Force brute</b><br/><b>Description</b> : Essayer de nombreux mots de passe pour découvrir le mot de passe de l’archive, éventuellement en tirant parti d’informations provenant de pages publiques."] class tech_brute_force technique tech_deobfuscate["<b>Technique</b> – <b>T1140 Déobfuscation/Décodage des fichiers</b><br/><b>Description</b> : Ouvrir le ZIP chiffré en utilisant le mot de passe découvert pour extraire la charge malveillante."] class tech_deobfuscate technique tech_archive_data["<b>Technique</b> – <b>T1560 Archivage des données collectées</b><br/><b>Description</b> : Réemballer les fichiers volés dans une archive avant exfiltration."] class tech_archive_data data tech_c2_web["<b>Technique</b> – <b>T1071.001 Protocole de couche d’application : Protocoles Web</b><br/><b>Description</b> : Communiquer avec le serveur de commande et de contrôle sur HTTP/HTTPS."] class tech_c2_web technique tech_c2_ftp["<b>Technique</b> – <b>T1071.002 Protocole de couche d’application : Protocoles de transfert de fichiers</b><br/><b>Description</b> : Transférer des fichiers supplémentaires en utilisant des protocoles de type FTP pour le C2."] class tech_c2_ftp technique tech_proxy["<b>Technique</b> – <b>T1090 Proxy</b><br/><b>Description</b> : Relayer le trafic C2 via des serveurs proxy pour masquer l’origine."] class tech_proxy proxy tech_internal_proxy["<b>Technique</b> – <b>T1090.001 Proxy Interne</b><br/><b>Description</b> : Utiliser un proxy situé au sein du réseau interne de la victime."] class tech_internal_proxy proxy tech_external_proxy["<b>Technique</b> – <b>T1090.002 Proxy Externe</b><br/><b>Description</b> : Utiliser un service proxy externe pour transférer le trafic C2."] class tech_external_proxy proxy tech_taint_shared["<b>Technique</b> – <b>T1080 Altération du contenu partagé</b><br/><b>Description</b> : L’action copier-coller propage le contenu script malveillant à d’autres environnements partagés."] class tech_taint_shared technique tech_exploit_client["<b>Technique</b> – <b>T1203 Exploitation de l’exécution côté client</b><br/><b>Description</b> : Le script exploite une vulnérabilité côté client pour exécuter un code arbitraire sur la machine de la victime."] class tech_exploit_client technique %% Connections tech_content_injection –>|conduit à| tech_html_smuggling tech_html_smuggling –>|conduit à| tech_svg_smuggling tech_svg_smuggling –>|conduit à| tech_malicious_link tech_malicious_link –>|conduit à| tech_copy_paste tech_copy_paste –>|conduit à| tech_script_proxy tech_script_proxy –>|conduit à| tech_compression tech_compression –>|conduit à| tech_brute_force tech_brute_force –>|conduit à| tech_deobfuscate tech_deobfuscate –>|conduit à| tech_archive_data tech_archive_data –>|conduit à| tech_c2_web tech_c2_web –>|conduit à| tech_c2_ftp tech_c2_ftp –>|conduit à| tech_proxy tech_proxy –>|dirige vers| tech_internal_proxy tech_proxy –>|dirige vers| tech_external_proxy %% Branches depuis l’étape copier-coller tech_copy_paste –>|causes| tech_taint_shared tech_copy_paste –>|causes| tech_exploit_client "

Flux d’attaque

Exécution de Simulation

Prérequis : Le Contrôle Pré-vol de Télémetrie & Baseline doit avoir réussi.

Raison : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.

  • Narratif de l’Attaque & Commandes :

    1. Recon : L’attaquant découvre une page “Télécharger pour macOS” malveillante qui héberge une charge utile de type PowerShell ciblant les utilisateurs macOS.

    2. Copier-coller : L’attaquant copie le texte entier du script, qui inclut la ligne de commentaire “Script copié et collé dans une fenêtre de terminal” (il s’agit d’un marqueur littéral inséré par l’auteur du malware).

    3. Exécution : Dans un terminal Linux, l’attaquant exécute :

      bash -c "Script copié et collé dans une fenêtre de terminal"

      Cette commande force Bash à essayer d’exécuter une commande dont le nom est la phrase exacte de détection, causant ainsi l’apparition de la phrase textuelle CommandLine dans le champ du journal d’audit. Même si la commande échoue, l’événement de création est enregistré et correspond à la règle Sigma.

    4. Résultat : A événement de création de processus CommandLine = avec bash -c Script copié et collé dans une fenêtre de terminal

  • est généré, déclenchant la détection. Le script de test de régression auto‑contenu Bash suivant reproduit le scénario sur n’importe quel hôte Linux avec auditd activé.

    #!/usr/bin/env bash
#
# Test de régression pour la règle Sigma : eee9618f-c935-450d-9d51-7072fbfca466
# Objectif : Émettre un événement de création de processus contenant la phrase de détection exacte.
#
set -euo pipefail

# Émettre la ligne de commande déclenchant la détection
echo "[*] Exécution de la commande déclenchant la détection..."
bash -c "Script copié et collé dans une fenêtre de terminal"

echo "[*] Test terminé. Vérifiez votre SIEM pour la détection."

  • Commandes de Nettoyage : Supprimer tous les fichiers temporaires ou processus résiduels (aucun créé par le test, mais pour plus de complétude) :

    # Aucun artefact créé ; assurez-vous qu'aucun processus bash inutile ne subsiste
pkill -f "Script copié et collé dans une fenêtre de terminal" || true
echo "[*] Nettoyage terminé."

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement