📅 Source : SANS Internet Storm Center (diary de Brad Duncan), publié le 2026-05-01.

🎯 Contexte : Dans un contexte de croissance de l’usage des appareils macOS (MacBooks, Mac Minis), des campagnes de malvertising ciblent ces hôtes. Une annonce malveillante observée le 2026-04-30 dans les résultats de recherche Google usurpe l’identité de Homebrew, le gestionnaire de paquets tiers pour macOS.

🔗 Vecteur d’infection : La publicité redirige vers une fausse page Homebrew hébergée sur sites.google.com/view/brewpage. Cette page présente un script à copier-coller que la victime est invitée à exécuter dans un terminal macOS.

⚙️ Déroulement de l’infection :

  • La victime copie-colle le script dans un terminal
  • Un popup apparaît pour collecter le mot de passe de la victime
  • Un second popup demande l’accès de l’application Terminal à Finder
  • Le malware MacSync Stealer collecte des informations sur l’hôte
  • Les données sont temporairement sauvegardées dans /tmp/osalogging.zip
  • Le fichier est envoyé au serveur C2 glowmedaesthetics[.]com

📦 Fichiers impliqués :

  • Script copy/paste initial (225 octets, ASCII)
  • Script zsh téléchargé depuis le C2 (1 448 octets)
  • Script shell extrait en base64 (2 647 octets)

🌐 Infrastructure : Le domaine C2 est glowmedaesthetics[.]com. La fausse page Homebrew était encore active au moment de la rédaction (2026-05-01).

📝 Type d’article : Analyse technique et rapport d’incident documentant une campagne de malvertising active ciblant macOS, avec IoCs exploitables.

🧠 TTPs et IOCs détectés

TTP

  • T1583.008 — Acquire Infrastructure: Malvertising (Resource Development)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1056.002 — Input Capture: GUI Input Capture (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1560.001 — Archive Collected Data: Archive via Utility (Collection)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)

IOC

  • Domaines : glowmedaesthetics.comVT · URLhaus · ThreatFox
  • URLs : http://glowmedaesthetics.com/curl/63810ee8b478575f3b2c6c46160c1fd338b213c6fc11bb0069dac9bbb7db237dURLhaus
  • SHA256 : a4fcfecc5ac8fa57614b23928a0e9b7aa4f4a3b2b3a8c1772487b46277125571VT · MalwareBazaar
  • SHA256 : 0d58616c750fc8530a7e90eee18398ddedd08cc0f4908c863ab650673b9819ddVT · MalwareBazaar
  • SHA256 : 86d0c50cab4f394c58976c44d6d7b67a7dfbbb813fbcf622236e183d94fd944fVT · MalwareBazaar
  • Fichiers : osalogging.zip
  • Chemins : /tmp/osalogging.zip

Malware / Outils

  • MacSync Stealer (stealer)

🟢 Indice de vérification factuelle : 70/100 (haute)

  • ⬜ dshield.org — source non référencée (0pts)
  • ✅ 4873 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 7 IOCs dont des hashes (15pts)
  • ✅ 4/5 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • a4fcfecc5ac8fa57… (sha256) → VT (5/75 détections)
  • 0d58616c750fc853… (sha256) → VT (24/76 détections)
  • 86d0c50cab4f394c… (sha256) → VT (26/75 détections)
  • glowmedaesthetics.com (domain) → VT (22/91 détections) + ThreatFox (Unknown Stealer)

🔗 Source originale : https://dshield.org/diary/Malicious+Ad+for+Homebrew+Leads+to+MacSync+Stealer/32942/