Главная страница » Индикаторы компрометации
0
6 часов
Индикаторы компрометации

Новая волна атак на macOS: злоумышленники обманом заставляют разработчиков устанавливать мощный инфостилер Cuckoo Stealer

Stealer

В мире кибербезопасности macOS традиционно воспринимается как более защищенная платформа по сравнению с Windows, однако реальность демонстрирует обратное. Атаки на пользователей macOS, особенно на разработчиков, становятся все более изощренными, смещая фокус с эксплуатации уязвимостей в ПО на эксплуатацию человеческих привычек. Новейшая кампания, обнаруженная аналитиками, наглядно демонстрирует эту тенденцию, используя технику под названием ClickFix для распространения многофункционального вредоносного ПО, крадущего данные - Cuckoo Stealer.

Описание

ClickFix представляет собой метод обманного выполнения кода, при котором злоумышленники не атакуют операционную систему напрямую, а манипулируют пользователем. Вместо сложных эксплойтов они создают фишинговые веб-страницы, максимально точно копирующие легитимные сайты популярного ПО. На такой странице отображается команда для установки, внешне неотличимая от настоящей. Пользователь, следуя инструкциям, нажимает кнопку "Копировать", вставляет команду в терминал и запускает атаку собственными руками, будучи уверенным, что выполняет рутинную операцию.

В данном случае приманкой стал Homebrew - чрезвычайно популярный менеджер пакетов для macOS, который разработчики устанавливают и используют ежедневно. Расследование началось с обнаружения одного домена с опечаткой (typosquatting), но быстро переросло в масштабное исследование скоординированной инфраструктуры, поставляющей сначала загрузчик для кражи учетных данных, а затем полноценный инфостилер для macOS, получивший название Cuckoo Stealer. Успех атаки основан на её идеальном встраивании в нормальное поведение разработчика, что делает традиционные средства защиты менее эффективными.

От одной опечатки к целой сети: расследование инфраструктуры

Изначальной точкой входа стал домен homabrews[.]org, обнаруженный исследователем. Этот домен использует классическую технику typosquatting - пропуск буквы 'e' в слове "homebrew", что при беглом взгляде легко не заметить. Анализ в платформе Hunt.io для охоты за угрозами показал, что домен был зарегистрирован 13 января 2026 года через NameCheap и почти сразу же начал фиксироваться системами обнаружения фишинга.

Глубокий анализ инфраструктуры выявил, что этот домен - лишь верхушка айсберга. IP-адрес 5.255.123[.]244, на котором он размещен, обслуживает целую сеть доменов-клонов, имитирующих Homebrew. Среди них brewsh[.]cx (использование альтернативного домена верхнего уровня), brrewsh[.]org (удвоение буквы 'r') и brewshh[.]org (удвоение буквы 'h'). Такой мультидоменный подход позволяет злоумышленникам ротировать ресурсы в случае блокировки одного из них. История SSL-сертификатов свидетельствует, что кампания активно развивалась как минимум с июля 2025 года.

Сами фишинговые страницы являются высококачественными клонами официального сайта brew.sh. Они повторяют дизайн, цветовую схему, макет и даже функцию выбора языка. Ключевой элемент атаки - модифицированная команда установки. Легитимная команда Homebrew использует вызов скрипта с raw.githubusercontent.com. В вредоносной версии этот домен заменен на raw.homabrews[.]org - изменение, состоящее всего из нескольких символов, которое легко пропустить при копировании.

Масштабирование расследования через поведенческий поиск

Чтобы оценить масштаб явления, аналитики использовали язык запросов HuntSQL для поиска по поведенческим паттернам. Запрос искал страницы, содержащие команды curl с флагами -fsSL, ссылки на /install.sh и функционал копирования в буфер обмена. Результат оказался тревожным: было обнаружено 46 подобных страниц, нацеленных на пользователей macOS. Это указывает на то, что ClickFix превратился в широко распространенный тренд среди злоумышленников, а не является единичной операцией. Среди обнаруженных доменов были как откровенно мошеннические, так и ресурсы, злоупотребляющие услугами вроде Cloudflare Pages.

Механика атаки: от кражи пароля до полного контроля

При выполнении обманной команды жертва загружает и запускает модифицированную версию скрипта установки Homebrew. Внешне процесс выглядит нормально, но внутри скрипта содержится вредоносный код.

  • Кража учетных данных (первый этап): Вместо простой установки скрипт инициирует цикл запроса пароля пользователя. Он использует встроенную утилиту macOS "dscl authonly" для валидации введенного пароля без создания сессии или логов. Если пароль неверен, скрипт выводит сообщение "Sorry, try again.", идентичное сообщению от "sudo", что не вызывает подозрений. Цикл продолжается до тех пор, пока пользователь не введет корректный пароль.
  • Доставка основного вредоносного ПО: После успешной кражи пароль кодируется в Base64 и передается как аргумент при загрузке основного вредоносного двоичного файла с именем "brew_agent". Это позволяет вредоносной программе сразу получить доступ к защищенным ресурсам системы.

Cuckoo Stealer: многофункциональный инфостилер и RAT для macOS

Второй этап атаки - выполнение Cuckoo Stealer, сложного вредоносного ПО, сочетающего функции вора данных и удаленного трояна доступа.

  • Закрепление в системе и маскировка: Для обеспечения постоянного присутствия вредоносное ПО создает LaunchAgent с именем "com.homebrew.brewupdater.plist" и копирует свой исполняемый файл в скрытую директорию с именем "BrewUpdater". Это позволяет ему запускаться при каждой загрузке системы под видом легитимного компонента Homebrew. Первым делом программа удаляет расширенный атрибут карантина (quarantine), который macOS добавляет к файлам, загруженным из интернета, что позволяет избежать предупреждений Gatekeeper при последующих запусках.
  • Уклонение от анализа: Cuckoo Stealer использует несколько техник для усложнения анализа. Все важные строки в коде зашифрованы с помощью XOR-шифра. Кроме того, вредоносное ПО проверяет локаль системы и прекращает работу, если она соответствует странам СНГ (армянская, белорусская, казахская, русская, украинская), что является распространенной тактикой для избегания внимания правоохранительных органов определенных регионов.
  • Защищенное взаимодействие с C2: Для связи с командным сервером используется HTTPS с применением алгоритма обмена ключами X25519 на эллиптических кривых для шифрования трафика. Это обеспечивает конфиденциальность коммуникации между зараженным хостом и злоумышленниками.

Широкий спектр кражи данных

Cuckoo Stealer нацелен на извлечение огромного массива конфиденциальной информации:

  1. Данные браузеров: Крадет cookies, сохраненные пароли, историю, закладки и данные расширений из всех основных браузеров (Chrome, Safari, Firefox, Edge). Особое внимание уделяется расширениям криптокошельков (Coinbase Wallet, Phantom, Binance Wallet), из Local Storage и IndexedDB которых извлекаются зашифрованные приватные ключи и seed-фразы.
  2. Системные хранилища: Похищает всю базу связок ключей macOS Keychain, содержащую пароли от сайтов, WiFi, сертификаты. Также крадет базу данных Apple Notes ("NoteStore.sqlite"), где пользователи часто хранят важную информацию.
  3. Сессии приложений: Извлекает аутентификационные токены из мессенджеров (Discord, Telegram), что позволяет злоумышленникам захватить аккаунты жертвы. Крадет конфигурации и учетные данные FTP-клиентов (FileZilla) и VPN-подключений (OpenVPN).
  4. Криптовалютные кошельки: Вредоносное ПО поддерживает целевой сбор данных более чем с 20 различных настольных криптокошельков, включая Bitcoin Core, Exodus, Atomic, Electrum, Monero, Ledger Live и многие другие. Рекурсивно обходит файловую систему в поисках файлов "wallet.dat", директорий "keystore" и конфигурационных JSON-файлов.
  5. Прочее: Делает скриншоты рабочего стола, крадет файлы с рабочих столов и из папки "Документы" по расширениям (документы, таблицы, ключи SSH, конфиги), а также данные игровых платформ (Steam).

Функционал удаленного доступа и самоуничтожение

Cuckoo Stealer также реализует функции RAT, позволяя операторам удаленно выполнять команды на зараженной системе. Поддерживаются команды для выполнения shell-скриптов (с выводом результата или в тихом режиме), перезагрузки системы, запуска и остановки потока эксфильтрации данных, а также целевого извлечения конкретных файлов. При получении соответствующей команды вредоносное ПО может активировать процедуру самоуничтожения: удалить свой LaunchAgent и, с небольшой задержкой, рекурсивно стереть свою рабочую директорию, затрудняя постфактум анализ.

Выводы и рекомендации

Данная кампания наглядно демонстрирует эволюцию угроз для macOS. Атаки становятся более целенаправленными и используют социальную инженерию, эксплуатируя доверие и привычки технически подкованных пользователей. ClickFix эффективен именно потому, что обходит технические средства защиты, нацеленные на вредоносный код, и перекладывает инициативу на самого пользователя.

Для специалистов по безопасности и разработчиков это служит серьезным напоминанием. Крайне важно:

  • Внимательно проверять источники команд. Не копировать и не выполнять команды установки с непроверенных сайтов, даже если они выглядят идентично легитимным. Всегда сверяйте доменное имя в команде "curl".
  • Использовать менеджеры паролей. Ввод пароля в терминал должен всегда вызывать вопросы. Если скрипт запрашивает пароль в неожиданный момент, это красный флаг.
  • Внедрять принцип наименьших привилегий. Работа под учетной записью без прав администратора для повседневных задач может ограничить ущерб.
  • Мониторить необычную активность. Неожиданные LaunchAgents, сетевые подключения к неизвестным доменам или подозрительные процессы с именами, похожими на легитимные (вроде "BrewUpdater"), должны расследоваться.
  • Проводить регулярное обучение. Даже опытные разработчики могут стать жертвой тщательно спланированной атаки на их привычный workflow. Осведомленность о таких техниках, как ClickFix, - первый шаг к защите.

Угроза, воплощенная в Cuckoo Stealer, подчеркивает, что экосистема macOS больше не является тихой гаванью. Злоумышленники адаптируют передовые техники для этой платформы, создавая комплексные инструменты для кражи данных, что требует от пользователей и компаний повышенной бдительности и многоуровневой защиты.

Индикаторы компрометации

IPv4

  • 5.255.123.244

Domains

  • brew.lat
  • brew.pages.dev
  • brewsh.cx
  • homabrews.org
  • raw.brewsh.cx

SHA256

  • 545dd5cba264bf242bc837330ca34247e202f7ac25f03eec63bf5842357519f1
  • f985cd667c77e7d99c1ac2ea9cb0861ded15e1c2d44e480cbd178ca8b2caae42
Комментарии: 0
Похожие записи
0
05.11.2024
Индикаторы компрометации

Северокорейские хакеры атакуют пользователей Naver: фишинговая кампания с сотнями поддельных доменов

phishing
Компания Hunt Intelligence обнаружила масштабную фишинговую кампанию, предположительно связанную с Северной Кореей, которая нацелена на пользователей южнокорейской технологической платформы Naver.
0
06.02.2026
Индикаторы компрометации

Открытый каталог на сервере управления раскрывает детали многоплатформенной кампании с использованием фреймворка BYOB

information security
Аналитики угроз, занимающиеся проактивной охотой, обнаружили открытый каталог на активном сервере управления и контроля, который использовался для распространения вредоносных нагрузок (payloads) на основе
0
23.09.2025
Индикаторы компрометации

Фишинг против энергетики США: как клонирование сайтов стало массовой угрозой в 2025 году

information security
Аналитики кибербезопасности зафиксировали резкий рост фишинговых атак на американские энергетические компании в 2025 году. Злоумышленники массово создают домены, имитирующие официальные сайты таких корпораций
0
20.06.2025
Индикаторы компрометации

Киберпреступники активно используют Cobalt Strike PowerShell-загрузчики на китайской и российской инфраструктуре

information security
В ходе мониторинга киберугроз исследователи Hunt Intelligence обнаружили подозрительный PowerShell-скрипт (y1.ps1), размещённый в открытом доступе на сервере в Китае (IP: 123.