SOC Prime Bias: Médio

12 Mai 2026 18:04
newspaper icon malware-traffic-analysis.net

Aviso de Infecção Shub Stealer para macOS

Author Photo
Ruslan Mikhalov Chefe de Pesquisa de Ameaças na SOC Prime linkedin icon Seguir
Aviso de Infecção Shub Stealer para macOS
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Uma ameaça de roubo de credenciais macOS conhecida como Shub Stealer está sendo distribuída por meio de uma página de download maliciosa que instrui os usuários a copiar e colar um comando no Terminal. A cadeia de infecção depende de arquivos ZIP protegidos por senha e redireciona as vítimas para conteúdo controlado por atacantes hospedado em plataformas de nuvem. O relatório acompanhando inclui capturas de rede e dados de log que documentam como a infecção se desenrola.

Investigação

A análise revisou um arquivo PCAP, um arquivo de log e o script malicioso usado para implantar o stealer. Os pesquisadores descobriram que o script era servido por meio de uma página da web que se passava por um portal de download legítimo do macOS e exigia que a vítima executasse manualmente um comando no Terminal. O tráfego de rede foi então inspecionado no Wireshark para identificar a sequência de comandos e rastrear a entrega do payload.

Mitigação

Os usuários nunca devem copiar e executar comandos de sites não confiáveis. As organizações devem verificar as fontes de software, implantar proteção de endpoint capaz de detectar ameaças conhecidas ao macOS e implementar listas de permissão de aplicativos sempre que possível. A execução de scripts não assinados deve ser restringida, e os defensores devem monitorar atividades suspeitas de shell em sistemas macOS.

Resposta

As equipes de segurança devem detectar a execução da linha de comando do Shub Stealer conhecido, bloquear a comunicação com os domínios e endereços IP maliciosos identificados, e isolar qualquer endpoint macOS afetado. Os investigadores também devem coletar os logs fornecidos e evidências PCAP para revisão forense e remover quaisquer arquivos maliciosos deixados no host.

"gráfico TB %% Definições de classe definiçãoDaClasse técnica preenchimento:#99ccff definiçãoDaClasse dados preenchimento:#c2f0c2 definiçãoDaClasse proxy preenchimento:#ffcc99 %% Nós de técnica tecnica_injecao_de_conteudo["<b>Técnica</b> – <b>T1659 Injeção de Conteúdo</b><br/><b>Descrição</b>: Injete links ou scripts maliciosos em documentos legítimos em nuvem (por exemplo, Google Drive) para obter acesso inicial."] classe tecnica_injecao_de_conteudo técnica tecnica_html_contrabando["<b>Técnica</b> – <b>T1027.006 Contrabando HTML</b><br/><b>Descrição</b>: Oculte o script malicioso dentro de um arquivo HTML que é executado quando o arquivo é processado por um navegador."] classe tecnica_html_contrabando técnica tecnica_svg_contrabando["<b>Técnica</b> – <b>T1027.017 Contrabando SVG</b><br/><b>Descrição</b>: Incorpore payload malicioso em uma imagem SVG que, quando analisada, redireciona para um download adicional."] classe tecnica_svg_contrabando técnica tecnica_link_malicioso["<b>Técnica</b> – <b>T1204.001 Link Malicioso</b><br/><b>Descrição</b>: A vítima clica em um link criado que inicia o download de conteúdo malicioso."] classe tecnica_link_malicioso técnica tecnica_copiar_colar["<b>Técnica</b> – <b>T1204.004 Copiar e Colar Malicioso</b><br/><b>Descrição</b>: O atacante fornece um comando que a vítima copia e cola em um terminal, executando código malicioso."] classe tecnica_copiar_colar técnica tecnica_script_proxy["<b>Técnica</b> – <b>T1216 Execução de Proxy de Script do Sistema</b><br/><b>Descrição</b>: Use um ambiente de script do sistema legítimo para executar proxy de código malicioso."] classe tecnica_script_proxy técnica tecnica_compressao["<b>Técnica</b> – <b>T1027.015 Compressão</b><br/><b>Descrição</b>: Entregue o payload dentro de um arquivo ZIP protegido por senha para evitar detecção."] classe tecnica_compressao técnica tecnica_brute_force["<b>Técnica</b> – <b>T1110 Força Bruta</b><br/><b>Descrição</b>: Tente muitas senhas para descobrir a senha do arquivo, possivelmente aproveitando informações de páginas públicas."] classe tecnica_brute_force técnica tecnica_deobfuscacao["<b>Técnica</b> – <b>T1140 Deobfuscation/Decode Arquivos</b><br/><b>Descrição</b>: Abra o ZIP criptografado usando a senha descoberta para extrair o payload malicioso."] classe tecnica_deobfuscacao técnica tecnica_arquivamento_dados["<b>Técnica</b> – <b>T1560 Arquivamento de Dados Coletados</b><br/><b>Descrição</b>: Regrave arquivos roubados em um arquivo antes da exfiltração."] classe tecnica_arquivamento_dados dados tecnica_c2_web["<b>Técnica</b> – <b>T1071.001 Protocolo de Camada de Aplicação: Protocolos Web</b><br/><b>Descrição</b>: Comunique-se com o servidor de comando e controle por HTTP/HTTPS."] classe tecnica_c2_web técnica tecnica_c2_ftp["<b>Técnica</b> – <b>T1071.002 Protocolo de Camada de Aplicação: Protocolos de Transferência de Arquivos</b><br/><b>Descrição</b>: Transfira arquivos adicionais usando protocolos semelhantes ao FTP para C2."] classe tecnica_c2_ftp técnica tecnica_proxy["<b>Técnica</b> – <b>T1090 Proxy</b><br/><b>Descrição</b>: Transmita o tráfego C2 por meio de servidores proxy para ocultar a origem."] classe tecnica_proxy proxy tecnica_proxy_interno["<b>Técnica</b> – <b>T1090.001 Proxy Interno</b><br/><b>Descrição</b>: Utilize um proxy localizado dentro da rede interna da vítima."] classe tecnica_proxy_interno proxy tecnica_proxy_externo["<b>Técnica</b> – <b>T1090.002 Proxy Externo</b><br/><b>Descrição</b>: Utilize um serviço de proxy externo para encaminhar o tráfego C2."] classe tecnica_proxy_externo proxy tecnica_contaminacao_compartilhada["<b>Técnica</b> – <b>T1080 Contaminar Conteúdo Compartilhado</b><br/><b>Descrição</b>: A ação de copiar e colar espalha conteúdo de script malicioso para outros ambientes compartilhados."] classe tecnica_contaminacao_compartilhada técnica tecnica_exploracao_cliente["<b>Técnica</b> – <b>T1203 Exploração para Execução do Cliente</b><br/><b>Descrição</b>: O script aproveita uma vulnerabilidade no lado do cliente para executar código arbitrário na máquina da vítima."] classe tecnica_exploracao_cliente técnica %% Conexões tecnica_injecao_de_conteudo –>|leva_a| tecnica_html_contrabando tecnica_html_contrabando –>|leva_a| tecnica_svg_contrabando tecnica_svg_contrabando –>|leva_a| tecnica_link_malicioso tecnica_link_malicioso –>|leva_a| tecnica_copiar_colar tecnica_copiar_colar –>|leva_a| tecnica_script_proxy tecnica_script_proxy –>|leva_a| tecnica_compressao tecnica_compressao –>|leva_a| tecnica_brute_force tecnica_brute_force –>|leva_a| tecnica_deobfuscacao tecnica_deobfuscacao –>|leva_a| tecnica_arquivamento_dados tecnica_arquivamento_dados –>|leva_a| tecnica_c2_web tecnica_c2_web –>|leva_a| tecnica_c2_ftp tecnica_c2_ftp –>|leva_a| tecnica_proxy tecnica_proxy –>|rota_para| tecnica_proxy_interno tecnica_proxy –>|rota_para| tecnica_proxy_externo %% Ramificações da etapa de copiar e colar tecnica_copiar_colar –>|causa| tecnica_contaminacao_compartilhada tecnica_copiar_colar –>|causa| tecnica_exploracao_cliente "

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação de Telemetria e Linha de Base Pré-voo deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa e Comandos de Ataque:

    1. Reconhecimento: O atacante descobre uma página maliciosa de ‘Download para macOS’ que hospeda um payload em estilo PowerShell direcionado a usuários de macOS.

    2. Copiar-Colar: O atacante copia todo o texto do script, que inclui a linha de comentário “Script copiado e colado em uma janela de terminal” (este é um marcador literal inserido pelo autor do malware).

    3. Execução: Em um terminal Linux, o atacante executa:

      bash -c "Script copiado e colado em uma janela de terminal"

      Este comando força o Bash a tentar executar um comando cujo nome é a frase de detecção exata, fazendo com que a frase apareça literalmente no Campo CommandLine do log de auditoria. Mesmo que o comando falhe, o evento de criação é registrado e corresponde à regra Sigma.

    4. Resultado: A evento de criação de processo com bash -c Script copiado e colado em uma janela de terminal Campo CommandLine = é gerado, acionando a detecção. Script de Teste de Regressão:

  • Regression Test Script: O script Bash autônomo a seguir reproduz o cenário em qualquer host Linux com auditd habilitado.

    #!/usr/bin/env bash
#
# Teste de regressão para regra Sigma: eee9618f-c935-450d-9d51-7072fbfca466
# Propósito: Emitir um evento de criação de processo que contenha a frase de detecção exata.
#
set -euo pipefail

# Emita a linha de comando que aciona a detecção
echo "[*] Executando comando que aciona a detecção..."
bash -c "Script copiado e colado em uma janela de terminal"

echo "[*] Teste completo. Verifique seu SIEM para a detecção."

  • Comandos de Limpeza: Remova quaisquer arquivos temporários ou processos remanescentes (nenhum foi criado pelo teste, mas para completude):

    # Nenhum artefato criado; garanta que não permaneçam processos bash
pkill -f "Script copiado e colado em uma janela de terminal" || true
echo "[*] Limpeza completa."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente