Odyssey Stealer атакует macOS, криптокошельки и учетные данные

Odyssey Stealer: как вредоносная кампания против macOS похищает криптоактивы в более чем 100 странах

Odyssey Stealer — вредоносное программное обеспечение, развернувшее масштабную фишинговую кампанию, направленную на пользователей macOS по всему миру. Злоумышленники делают ставку на перехват криптографических приложений: легитимные криптокошельки подменяются троянами-дрейнерами, что приводит к систематической краже учетных данных, приватных ключей и цифровых активов.

Механизм заражения: от поддельной CAPTCHA до скрытого AppleScript

Атака эксплуатирует продвинутую социальную инженерию. Жертва сталкивается с фальшивыми страницами CAPTCHA, которые манипулируют пользователем, вынуждая выполнить закодированную в base64 команду в Терминале macOS. Сценарий на AppleScript позволяет обойти многие средства защиты конечных точек, ориентированные на традиционные бинарные сигнатуры, и бесшумно развернуть загрузчик вредоносной программы.

Цели и маскировка

Odyssey Stealer ориентирован на криптоэкосистему. Под удар попадают:

  • разработчики;
  • системные администраторы;
  • криптотрейдеры;
  • руководители, активно работающие с цифровыми активами.

Для распространения используются вредоносные рекламные кампании и фишинг-схемы, имитирующие такие известные инструменты, как Microsoft Teams и Homebrew. Особенно опасной чертой является способность ВПО заменять легитимные приложения кошельков троянизированными версиями, которые запускаются с повышенными привилегиями.

Сбор данных и эксфильтрация

После активации вредонос собирает конфиденциальную информацию из нескольких источников. Под прицелом — популярные браузеры:

  • Chrome;
  • Firefox;
  • Opera.

Из них извлекаются пароли, файлы cookie и данные автозаполнения. Кроме того, Odyssey поддерживает широкий спектр криптовалютных кошельков — как десктопных клиентов, так и веб-версий, что даёт операторам доступ к множеству активов и учётных записей. Похищенные сведения сжимаются в архивы и отправляются на управляющие серверы с помощью POST-запросов curl, причём реализован механизм повторных попыток для гарантированной доставки.

Закрепление в системе

Вредонос оснащён механизмами удержания: он добавляет вредоносные записи LaunchDaemon, позволяющие переживать перезагрузки macOS и поддерживать постоянное соединение с центрами управления (C2). Через этот канал могут поступать дополнительные команды и обновления трояна.

Модель «ВПО как услуга»

Odyssey действует как платформа Malware-as-a-Service. Аффилированные лица получают кастомные варианты стилера и доступ к панелям управления, где в реальном времени отслеживаются скомпрометированные хосты и похищенная информация. Такая бизнес-модель значительно расширяет географию и масштаб угрозы.

«Исследователи подчёркивают важность проверки источников загрузки программного обеспечения, осторожности при появлении запросов в браузере на выполнение команд терминала и проверки любых неожиданных изменений в приложениях кошельков на macOS. Для организаций, особенно тех, которые активно занимаются криптовалютой или управляют большими парками устройств, постоянная бдительность в отношении аномального поведения — такого как нерегулярная активность LaunchDaemon — остаётся критически важной для защиты от устойчивой угрозы, создаваемой Odyssey Stealer».

Таким образом, Odyssey Stealer представляет собой сложную и адаптивную угрозу, нацеленную на самое чувствительное — цифровые активы и учётные данные пользователей macOS. Сочетание фишинга, обхода средств защиты и механизмов долгосрочного присутствия в системе требует от всех участников криптосообщества повышенной осмотрительности и усиления мер безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: