СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 февраля
#ИБ#Инфра

Odyssey Stealer для macOS — MaaS-угроза, нацеленная на криптовалюты

Исследование выявило сложное вредоносное ПО для macOS под названием Odyssey Stealer, ориентированное на похищение данных пользователей криптовалют. Программа распространяется по модели MaaS (Вредоносное ПО как услуга) и предоставляет злоумышленникам готовую инфраструктуру и инструментарий для проведения кампаний с распределением доходов между операторами и владельцами платформы.

Краткий обзор и ключевые особенности

  • Цель: сбор конфиденциальной информации, в первую очередь данных криптокошельков и учетных записей веб‑браузеров (например, Firefox, MetaMask).
  • Модель распространения: MaaS — доступ для независимых филиалов через управляющую панель.
  • Инфраструктура: отличительная панель на React и согласованные API‑конечные точки, упрощающие взаимодействие операторов с C2.
  • Происхождение: ребрендинг Poseidon Stealer; в корнях — Atomic macOS Stealer (AMOS).

Инфраструктура и распределение серверов

Анализ с помощью Censys показал как минимум десять физических хостов, связанных с инфраструктурой command-and-control (C2) Odyssey, преимущественно в Европе: кластеры ASN в Нидерландах и Германии. Также обнаружены одиночные хосты в Сингапуре, Литве и России. Некоторые серверы размещены у bulletproof hosting services, что указывает на расчет на устойчивость к попыткам вывода их из строя.

Механизм атаки и этапы кампании

Атака Odyssey состоит из нескольких четко организованных стадий:

  • Дроппер: начальная стадия использует обфусцированный AppleScript, завернутый в shell‑скрипт. Дроппер не только запускает атаку, но и устанавливает минимальный RAT.
  • RAT и закрепление: Trojan‑RAT создаёт LaunchDaemon с случайными именами сервисов для автозапуска и устойчивого присутствия в системе. Каждый экземпляр читает адрес C2 с диска, то есть C2 не закодирован жестко, что усложняет обнаружение статическим анализом.
  • Удаленное управление: вредоносное ПО может выполнять произвольные shell‑команды и загружать собственный прокси‑сервер socks5 для эксфильтрации трафика и дальнейших действий.

Цели кражи данных и используемые методы

Основная цель — извлечение конфиденциальных данных с акцентом на доступ к средствам пользователей криптовалют. Среди техник, используемых Odyssey:

  • Сбор cookies и учетных данных браузеров (особенно Firefox и расширений типа MetaMask).
  • Социальная инженерия: показ поддельного системного диалогового окна для получения пароля macOS, который затем используется для доступа к мастер‑паролю Chrome, хранящемуся в Keychain.
  • Использование случайных имён служб и чтение C2 с диска для повышения скрытности.

Управляющая панель и функциональность для операторов

Панель Odyssey предоставляет операторам набор удобных функций:

  • настройки уведомлений;
  • генератор сборок, позволяющий создавать разные полезные нагрузки;
  • согласованные API‑конечные точки, упрощающие интеграцию и масштабирование кампаний.

Odyssey — это по сути ребрендинг Poseidon Stealer, унаследовавший механики от Atomic macOS Stealer (AMOS).

Авторы и связь с киберпреступным сообществом

Разработка связана с пользователем под псевдонимом Rodrigo4, который активен на русскоязычных форумах, посвящённых киберпреступности. Такое поведение подтверждает наличие коммерческой экосистемы вокруг инструмента и практик обмена между злоумышленниками.

Рекомендации по защите и обнаружению

Эксперты предлагают следующие меры для снижения риска заражения и обнаружения активности Odyssey:

  • Мониторинг необычного использования osascript и shell‑скриптов, запускаемых через AppleScript.
  • Проверка каталога /Library/LaunchDaemons и других мест на предмет LaunchDaemon с непонятными или случайными именами.
  • Блокирование сетевого трафика, относящегося к известным C2 и подозрительным прокси‑подключениям (включая socks5).
  • Обучение пользователей распознавать подозрительные системные запросы паролей и проявлять осторожность при установке приложений.
  • Использование многофакторной аутентификации и изоляция ключей/кошельков от веб‑браузеров, где это возможно.

Заключение

Odyssey Stealer демонстрирует рост профессионализации инструментов киберпреступников: готовая MaaS‑платформа, удобная панель управления и устойчивая инфраструктура повышают эффективность атак. Специалистам по информационной безопасности и пользователям криптовалют следует учитывать специфические индикаторы компрометации, описанные в исследовании, и оперативно внедрять рекомендованные меры защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: