Исследовательская группа CYFIRMA обнаружила новую волну кибератак, нацеленных на пользователей macOS, использующих вредоносный стилер под названием Odyssey Stealer. Этот троянец представляет собой переработанную версию известного Poseidon Stealer и использует изощрённые методы для кражи данных, включая пароли, куки браузеров, криптовалютные кошельки и личные файлы. Злоумышленники распространяют вредонос через поддельные веб-сайты, имитирующие официальные ресурсы Apple и финансовых сервисов, что делает атаки особенно опасными для невнимательных пользователей.
Описание
Как работает атака?
Odyssey Stealer распространяется с помощью техники ClickFix, при которой злоумышленники создают поддельные домены, похожие на официальные сайты App Store, финансовых платформ или криптовалютных новостных ресурсов. Когда пользователь по ошибке заходит на такой сайт, он видит фальшивую CAPTCHA-страницу, имитирующую защитный механизм Cloudflare. Под ней находятся инструкции, призывающие скопировать и ввести в терминал специальную команду.
При выполнении команды запускается Base64-закодированный скрипт, который загружает и исполняет основной вредоносный код. Сценарий не использует сложную обфускацию, что упрощает его анализ, однако эффективность атаки от этого не снижается. Программа создаёт временную директорию в "/tmp/lovemrtrump", куда копирует данные из системного Keychain, файлы браузеров и криптокошельков.
Что крадет Odyssey Stealer?
Основная цель троянца - конфиденциальные данные. Сценарий собирает пароли из браузеров (Chrome, Firefox, Safari), куки-файлы для перехвата сессий, а также информацию из популярных криптовалютных кошельков, таких как Electrum, MetaMask, Binance и других. Помимо этого, вредонос ищет личные документы (PDF, TXT, DOCX, изображения) в папках пользователя и упаковывает всё в архив "out.zip", который затем отправляет на серверы злоумышленников.
Кто стоит за атакой?
По данным исследователей, Odyssey Stealer является переработанной версией Poseidon Stealer, который, в свою очередь, произошёл от AMOS Stealer. Главным разработчиком числится некий «Rodrigo», ранее участвовавший в создании AMOS. Интересно, что атаки направлены преимущественно на пользователей из США и ЕС, в то время как жители стран СНГ остаются вне зоны поражения.
Odyssey Stealer демонстрирует, что угрозы для macOS становятся всё более изощрёнными. Киберпреступники активно адаптируют инструменты, ранее использовавшиеся против Windows, и теперь macOS-пользователям также необходимо проявлять бдительность.
Индикаторы компрометации
IPv4
- 185.147.124.212
- 185.39.206.183
- 188.92.28.186
- 194.26.29.217
- 45.135.232.33
- 45.144.233.192
- 45.146.130.129
- 5.199.166.102
- 83.222.190.214
- 83.222.190.250
- 88.214.50.3
Domains
- appmacintosh.com
- appmacosx.com
- appsmacosx.com
- cryptoinfnews.com
- cryptoinfo-news.com
- cryptonews-info.com
- emailreddit.com
- financementure.com
- macapp-apple.com
- macapps-apple.com
- macosapp-apple.com
- macosxapp.com
- macosx-apps.com
- macosxappstore.com
- macxapp.org
- odyssey1.to
- odyssey-st.com
- republicasiamedia.com
SHA256
- a0bdf6f602af5efea0fd96e659ac553e0e23362d2da6aecb13770256a254ef55
