Вредоносное ПО Odyssey маскируется под инструменты искусственного интеллекта для кражи данных

Особую озабоченность вызывает последняя версия вредоносного ПО, которая теперь включает функции создания скрытого доступа и целенаправленно атакует пользователей, установивших приложение Ledger Live для управления аппаратными кошельками криптовалют. Вредоносная программа заменяет легитимное приложение на модифицированную версию, предназначенную для кражи сид-фраз (мнемонических выражений), что позволяет злоумышленникам получить полный контроль над криптовалютными активами жертв.

Odyssey, первоначально обнаруженный в 2023 году как вариант трояна-похитителя данных AMOS (также известного как Poseidon), распространяется по модели MaaS (вредоносное программное обеспечение как услуга) на подпольных форумах. Новая кампания затрагивает как пользователей macOS, так и Windows. По данным анализа, некоторые индикаторы компрометации (IOC) на момент публикации обнаруживались только антивирусным решением Tencent в VirusTotal.

Атака использует многоэтапную стратегию. На начальном этапе злоумышленники размещают в Twitter рекламу поддельных инструментов ИИ с ссылками на фишинговые сайты, такие как alli-app.gitbook[.]io, который перенаправляет пользователей на фактический фишинговый домен alli-ai.app. Пользователям macOS предлагается загрузить файл Alli-Ai.dmg, содержащий вредоносное исполняемое приложение, которое затем загружает и запускает основной вредоносный сценарий AppleScript с домена progressdev.xyz/salon.

Этот сценарий выполняет несколько вредоносных действий: собирает системную информацию, учетные данные пользователей, данные браузеров и криптовалютных кошельков, упаковывает собранные данные в архив out.zip и отправляет их на сервер управления и контроля (C2) 185.93.89[.]62. Кроме того, он устанавливает механизм постоянного присутствия в системе через файлы конфигурации plist в каталоге /Library/LaunchDaemons/, что гарантирует автоматический запуск вредоносного кода при каждой загрузке системы.

Для пользователей Ledger Live сценарий загружает и заменяет легитимное приложение на вредоносную версию, которая отображает фишинговую веб-страницу через WebView, побуждая пользователей ввести свои мнемонические фразы для последующей передачи злоумышленникам.

Сценарий salon демонстрирует сложный модульный дизайн и использует различные методы для сбора данных, включая извлечение файлов cookies из браузеров Safari, Chrome и Firefox, а также целевой сбор данных из популярных криптовалютных кошелеков, таких как Electrum, Coinomi, Exodus и MetaMask. Механизм передачи данных включает повторные попытки отправки при неудачных соединениях, что повышает надежность эксфильтрации информации.

Установленный механизм постоянного присутствия включает сценарий plist, который функционирует как бэкдор, регулярно связываясь с C2-сервером для получения и выполнения команд. Поддерживаемые команды включают выполнение произвольных shell-команд, загрузку и запуск дополнительных скриптов, а также развертывание SOCKS5-прокси для использования зараженного устройства в качестве узла анонимизации.

В качестве защитных мер эксперты рекомендуют пользователям проявлять осторожность при переходе по ссылкам на AI-инструменты в социальных сетях, проверять источники загрузок и обращать внимание на запросы паролей от непроверенных приложений. На техническом уровне следует активировать Gatekeeper, настроить мониторинг выполнения AppleScript, внедрить инструменты сетевого наблюдения для обнаружения соединений с известными вредоносными IP-адресами и регулярно проверять каталоги /Library/LaunchDaemons/ и /tmp на наличие подозрительных файлов.

IPv4

• 185.93.89.62

Domains

• alli-ai.app
• alli-app.gitbook.io
• alliapp.net

MD5

• 26f52cc4fb475fc45a3b1836014e4943
• 463331562eb17b1e3b41179288c568b7
• 6827364f4898e871b54b5419b55d14e2
• 78bea1ee8bad1b23d1c3dee2769b9f26
• 7f6082697035fa1a2dce2b1f5f0eb12f
• 857a0c3544e1215a76271b8dc393ead3
• 8cb16b984ef26ebe769bb34fcd96f684
• a8b54bc4b2d3723b11666fc5fe646cdb