Uma campanha de engenharia social sofisticada está visando desenvolvedores macOS através de páginas falsas de instalação do Homebrew que implantam o Cuckoo Stealer, um malware abrangente de roubo de credenciais. O ataque aproveita a técnica "ClickFix", que engana os usuários para executarem comandos maliciosos no Terminal disfarçados de scripts de instalação legítimos. Diferente de exploits tradicionais, esta campanha explora a confiança do usuário e fluxos de trabalho familiares de desenvolvedores.
Descoberta e escopo
Analistas da Hunt.io identificaram a campanha após descobrirem o domínio typosquatado homabrews.org, registrado em 13 de janeiro de 2026. A operação se concentra em domínios que replicam perfeitamente o site oficial do Homebrew. Quando os desenvolvedores visitam essas páginas fraudulentas, encontram um comando de instalação padrão com um botão de copiar conveniente. O comando malicioso difere do legítimo por apenas uma mudança de domínio, substituindo raw.githubusercontent.com por raw.homabrews.org, uma modificação sutil o suficiente para escapar de uma inspeção rápida.
Vetor e exploração
O ataque é executado em dois estágios distintos. O script de primeiro estágio se disfarça de instalador legítimo do Homebrew enquanto valida secretamente as senhas dos usuários através do comando "dscl authonly". Este loop de validação exibe "Sorry, try again" para senhas incorretas, imitando perfeitamente o comportamento padrão do sudo para evitar suspeitas. Uma vez que as credenciais válidas são capturadas, o script baixa um binário chamado brew_agent, codificando a senha roubada em formato Base64 e passando-a como argumento para acesso imediato a recursos protegidos do sistema.
Capacidades do malware e evasão
O Cuckoo Stealer estabelece persistência através do sistema LaunchAgent do macOS, disfarçando-se de com.homebrew.brewupdater.plist para se misturar com processos legítimos do sistema. O malware implementa múltiplas técnicas anti-análise, incluindo filtragem baseada em localidade que impede a execução em sistemas configurados para países da Comunidade de Estados Independentes, bloqueando especificamente localidades armênia, bielorrussa, cazaque, russa e ucraniana. Todas as strings sensíveis são criptografadas usando ofuscação baseada em XOR com rotação de chave baseada em índice para evadir análise estática e detecção por assinatura.
Alvo e infraestrutura
O malware funciona como um trojan de acesso remoto abrangente com capacidades incluindo execução de comandos shell, reinicialização do sistema, mecanismos de autodestruição e threads controladas de exfiltração de dados. Ele visa credenciais de navegadores de todos os principais navegadores macOS, extensões de carteiras de criptomoedas, bancos de dados do macOS Keychain, Apple Notes, aplicativos de mensagens e mais de 20 aplicativos de carteiras de criptomoedas. A infraestrutura de comando e controle usa comunicações HTTPS criptografadas com troca de chaves Diffie-Hellman de curva elíptica X25519 para criptografia de sessão.