Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Odyssey Stealer: новая угроза macOS с фокусом на кражу крипто-данных

20
3 мин
Исследовательская группа CYFIRMA выявила новую сложную вредоносную программу — Odyssey Stealer, нацеленную на кражу информации с устройств macOS. Этот stealer использует передовые методы доставки через технологию Clickfix, внедряя вредоносные AppleScripts на сайты с опечатками, имитирующие финансовые и криптовалютные ресурсы. Новая угроза демонстрирует высокий уровень изощренности и специально нацелена на пользователей, связанных с финансами и криптовалютой. Одной из ключевых особенностей Odyssey Stealer является использование обманчивого кинетического подхода. Пользователи попадают на сайты с адресами, которые выглядят как популярные финансовые порталы, App Store или сайты о криптовалюте — только с ошибками в URL, что вводит в заблуждение и повышает вероятность заражения. Отмечается, что во время исследований функция «Копировать» не всегда корректно воспроизводила команду, но, вероятно, это будет исправлено в будущих версиях вредоносного ПО. Выполнение полученной команды активирует ск
Оглавление
Источник: www.cyfirma.com
Источник: www.cyfirma.com

Новый угрожающий Trojan для macOS – Odyssey Stealer: что известно о киберугрозе

Исследовательская группа CYFIRMA выявила новую сложную вредоносную программу — Odyssey Stealer, нацеленную на кражу информации с устройств macOS. Этот stealer использует передовые методы доставки через технологию Clickfix, внедряя вредоносные AppleScripts на сайты с опечатками, имитирующие финансовые и криптовалютные ресурсы. Новая угроза демонстрирует высокий уровень изощренности и специально нацелена на пользователей, связанных с финансами и криптовалютой.

Механизм распространения и обман пользователей

Одной из ключевых особенностей Odyssey Stealer является использование обманчивого кинетического подхода. Пользователи попадают на сайты с адресами, которые выглядят как популярные финансовые порталы, App Store или сайты о криптовалюте — только с ошибками в URL, что вводит в заблуждение и повышает вероятность заражения.

  • Пользователям macOS предлагается ввести поддельную капчу в стиле Cloudflare.
  • После этого они получают инструкции по копированию команды в Base64 в терминал для запуска вредоносного скрипта.
  • Пользователям Windows предоставляется альтернативный набор инструкций, что указывает на возможное расширение функционала для других платформ.

Отмечается, что во время исследований функция «Копировать» не всегда корректно воспроизводила команду, но, вероятно, это будет исправлено в будущих версиях вредоносного ПО.

Побочные эффекты и сбор данных

Выполнение полученной команды активирует скрипт, который формирует поддельный запрос для скрытого захвата учетных данных с помощью команды dscl authonly на macOS. Вредонос распространяется на личные данные пользователя, включая:

  • Файлы cookie браузеров
  • Сохранённые пароли
  • Информацию о криптовалютных кошельках

Odyssey Stealer обращает особое внимание на файлы ключей macOS, содержащие конфиденциальную информацию для входа в систему, а также на данные популярных криптовалютных кошельков, таких как Electrum и MetaMask.

Поддерживаемые браузеры и особенности работы с данными

Stealer эффективно действует с известными браузерами — Chrome, Firefox и Safari, позволяя собирать учетные данные, финансовую информацию и токены сеансов. Особое внимание уделяется расширениям, упрощающим криптовалютные транзакции.

Для передачи украденных данных злоумышленники используют повторяющиеся HTTP POST-запросы, обеспечивающие сохранность и доставку информации даже в случае сбоев сети. Вредонос оборудован встроенными механизмами повторных попыток с отслеживанием идентификаторов и заданными интервалами повторений.

Командно-контрольная структура и эволюция вредоносного ПО

Командно-контрольная инфраструктура Odyssey Stealer позволяет киберпреступникам гибко управлять вредоносом, создавать индивидуальные варианты для конкретных целей. Структура malware демонстрирует тесные связи с другими известными программами — Poseidon Stealer и AMOS Stealer, что говорит о конкурентной, но взаимосвязанной эволюции вредоносных программ для macOS.

Интересно, что операторы явно избегают атак на пользователей из стран СНГ, что совпадает с практиками российских киберпреступных группировок и говорит о разделении зон влияния в подпольном киберсообществе.

Итоги и рекомендации

Odyssey Stealer — это пример высокотехнологичной угрозы, которая фокусируется на западных пользователях macOS, задействуя продвинутые методы социальной инженерии и технологии сбора информации. Специалисты по кибербезопасности призывают пользователей быть крайне внимательными при переходе на незнакомые сайты, особенно при вводе любых команд в терминал и взаимодействии с подозрительными капчами.

Основные рекомендации:

  • Проверять URL-адреса сайтов и избегать перехода по ссылкам с опечатками
  • Не выполнять команды из непроверенных источников, особенно в терминале
  • Использовать современные антивредоносные решения и регулярно обновлять системы безопасности
  • Мониторить подозрительную активность в работе браузеров и криптовалютных кошельков

Тщательное соблюдение этих мер поможет предотвратить заражение и защитить конфиденциальную информацию от кражи.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Odyssey Stealer: новая угроза macOS с фокусом на кражу крипто-данных".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются