Odyssey Stealer — ориентированный на macOS похититель учетных данных и криптокошельков
Исследователи зафиксировали появление вредоносной платформы Odyssey Stealer — macOS‑варианта ранее известной Windows‑семейства ClickFix. Кампания использует хорошо поставленную социальную инженерию и нестандартные векторы доставки, чтобы заставить пользователя самостоятельно запустить вредоносную нагрузку и передать ей права администратора.
Как начинается атака
Атака стартует с фишинговой рассылки, которая направляет жертву на фальшивый сайт hxxps://tradingviewen[.]com. Для продолжения посетителя просят пройти CAPTCHA и выполнить дополнительные действия в браузере — при этом применяются поддельные диалоговые окна и иные методы обмана, вынуждающие пользователя взаимодействовать с ресурсом.
Вектор доставки и эскалация прав
Основная полезная нагрузка для macOS доставляется через AppleScript, который запускается в Terminal и явно запрашивает у пользователя системный пароль для выполнения операций с повышенными привилегиями. Получение таких прав позволяет вредоносному ПО развернуть сбор широкого набора конфиденциальных данных с заражённого хоста.
Что похищает Odyssey Stealer
- Общее credential harvesting — сохранённые логины и пароли;
- Данные криптокошельков, обнаруженные на машине;
- Артефакты браузеров, в частности браузеров на базе Firefox и Chromium: cookies, сохранённые логины, история автозаполнения форм и ключи шифрования.
Собранные данные предварительно копируются во временный рабочий каталог для дальнейшей упаковки и передачи.
Механизм эксфильтрации
После сбора вредоносная программа упаковывает данные в ZIP‑архив и сохраняет его по пути /tmp/out.zip. Экcфильтрация реализована просто: архив отправляется на удалённый сервер по адресу hxxp://45.146.130.131/log с использованием команды curl. Это классический конвейер данных в стиле C2.
Эволюция кампании и методы обхода
Отмечается эволюция от атак на Windows к целенаправленным кампаниям против macOS. При этом злоумышленники применяют методы обфускации для затруднения обнаружения традиционными средствами защиты и делают ставку на социальную инженерию через Terminal для получения первоначального доступа.
NGFW идентифицирует фишинговый сайт как «Похититель файловой текстовой информации, использующий поддельные диалоговые окна браузера».
Индикаторы компрометации (IOCs)
- Фишинговый ресурс: hxxps://tradingviewen[.]com;
- Команда эксфильтрации: curl → hxxp://45.146.130.131/log;
- Путь временного архива: /tmp/out.zip;
- Дроппер: AppleScript (.scpt), запускаемый в Terminal;
- Целевые браузеры: Firefox, Chromium‑based browsers.
Рекомендации по защите
- Блокировать фишинговые URL на стадии приманки (включая obfuscated адреса вроде hxxps://tradingviewen[.]com);
- Включить детекцию и блокировку AppleScript‑дропперов (.scpt) в решениях endpoint‑security;
- Ограничить исходящий трафик к известной инфраструктуре C2 (блокировка IP/URL) и мониторить необычные запросы на hxxp://45.146.130.131/log или аналогичные ресурсы;
- Усилить внимание пользователей: не вводить системный пароль по запросу сайтов или неизвестных скриптов в Terminal;
- Проверять целостность и настройки браузеров, а также при возможности использовать HW‑ключи и MFA для критичных сервисов и криптокошельков.
Вывод
Кампания с использованием Odyssey Stealer демонстрирует сдвиг внимания злоумышленников в сторону macOS и показывает, что злоумышленники готовы комбинировать обфускацию, социальную инженерию и простые, но эффективные механизмы эксфильтрации по HTTP. Главная цель — массовый сбор учетных данных и данных криптокошельков с последующей передачей на внешнюю инфраструктуру.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
