Злоумышленники используют поддельный Microsoft Teams для распространения стилера Odyssey на macOS

В начале августа 2025 года компания Forcepoint опубликовала отчет о кампании с использованием Clickfix, в ходе которой злоумышленники выдавали себя за Tradingview для распространения стилера Odyssey. В ходе регулярного мониторинга инфраструктуры система TRIAD от CloudSEK обнаружила, что теперь преступники заманивают жертв через фальшивый сайт загрузки Microsoft Teams. Когда жертва копирует предоставленную команду, выполняется закодированный в base64 скрипт AppleScript, который является стилером Odyssey.

Вредоносная программа собирает конфиденциальные данные, включая учетные записи браузеров, файлы cookie, заметки из приложения Apple Notes и информацию из множества криптокошельков, работающих как расширения браузеров и как отдельные приложения. Собранные данные помещаются в архив /tmp/out.zip, после чего отправляются на командный сервер (C2). Затем malware (вредоносное программное обеспечение) обеспечивает свое постоянное присутствие в системе через механизм LaunchDaemons и заменяет приложение Ledger Live на модифицированную версию, содержащую троянскую функциональность.

В процессе анализа инфраструктуры злоумышленников было обнаружено несколько тематических сайтов доставки Clickfix, ориентированных на пользователей macOS. Один из таких сайтов имитировал страницу загрузки Microsoft Teams. С помощью платформы FOFA исследователи идентифицировали 24 уникальных IP-адреса, принадлежащих к одному кластеру. Основная целевая страница кампании - teamsonsoft[.]com.

Когда пользователь нажимает кнопку «Copy», в буфер обмена помещается команда, содержание которой зависит от типа операционной системы. Для macOS скопированная команда содержит закодированный скрипт, который при расшифровке запускает встроенный AppleScript без использования уязвимостей - только за счет выполнения скрипта.

Далее вредоносное ПО собирает информацию о системе, проверяет возможность аутентификации пользователя и, в случае необходимости, запрашивает пароль через поддельное диалоговое окно. Собранные данные включают ключи доступа из связки ключей Chrome, файлы cookie Safari, базы данных заметок Apple Notes, а также данные из профилей браузеров на основе Chromium и Gecko. Особое внимание уделяется расширениям для управления криптовалютами, таким как MetaMask.

Стилер также целенаправленно ищет данные настольных криптокошельков, включая Electrum, Exodus, Atomic, Trezor Suite и Ledger Live. Кроме того, программа выборочно копирует файлы с раcширениями, представляющими интерес, такие как txt, pdf, docx и другие. Перед отправкой данных архивирует их, избегая включения кэшированных и временных файлов.

Собранная информация передается на сервер злоумышленников с использованием curl-запроса. Один и тот же хост также предоставляет вторичные полезные нагрузки для обеспечения постоянного присутствия и подмены приложений. Для этого создается файл LaunchDaemon, который регистрируется в системе, а легитимное приложение Ledger Live заменяется на троянизированную версию, загружаемую с C2.

Атака демонстрирует высокий уровень адаптации под macOS-среду и использование социальной инженерии для обхода защиты. Пользователям рекомендуется избегать загрузки программного обеспечения с непроверенных источников и использовать двухфакторную аутентификацию для защиты учетных записей. Компаниям следует усилить мониторинг сетевой активности и применять решения для обнаружения аномалий в работе систем.

IPv4

• 185.93.89.162

Domains

• teamsonsoft.com

SHA256

• 397ee604eb5e20905605c9418838aadccbbbfe6a15fc9146442333cfc1516273
• 7a8250904e6f079e1a952b87e55dc87e467cc560a2694a142f2d6547ac40d5e1
• 909038524250903a44efd734710e60a8f73719130176c726e58d3287b22067c8
• d81cc9380673cb36a30f2a84ef155b0cbc7958daa6870096e455044fba5f9ee8