Злоумышленники используют обманчивый веб‑сайт загрузки Microsoft Teams для распространения кражи данных Odyssey macOS stealer с помощью загрузчика Clickfix. Вредоносное ПО способно собирать широкие массивы конфиденциальной информации, закрепляться в системе и эксфильтрировать данные на серверы злоумышленников, а также заменять легитимные приложения (включая Ledger Live) на троянские версии.
Краткая сводка инцидента
По данным анализа инфраструктуры, проведённого Cloudsek’s TRIAD в августе 2025 года, злоумышленники изменили свои тактики и перестали имитировать сайты вроде Tradingview, сосредоточившись на целенаправленной атаке через поддельный инсталлятор Microsoft Teams. В качестве вектора выполнения используется AppleScript, закодированный в base64 и запускаемый одной командой — классифицируется как выполнение сценариев (T1059.002).
«злоумышленники перешли от подражания другим сервисам, таким как Tradingview, к целенаправленной атаке на Microsoft Teams» — Cloudsek’s TRIAD
Что именно похищает и как
Odyssey macOS stealer реализует многоуровневый сбор конфиденциальных данных:
- учётные данные пользователей и сохранённые пароли;
- файлы cookie браузера и данные сессий;
- заметки Apple и содержимое Keychain (включая целенаправленный доступ к Chrome Keychain);
- данные из криптовалютных кошельков и связанных приложений, включая рекурсивное копирование директорий кошельков;
- локальное хранение захваченных учётных данных для последующего использования.
Механизмы эксфильтрации и дополнительные артефакты
Сбор завершает эксфильтрация данных на сервер командования и контроля (C2) посредством HTTP POST‑запросов на определённые IP‑адреса с реализацией повторных попыток при сбоях (T1041). На том же сервере злоумышленников обнаружены дополнительные полезные данные, которые могут быть загружены на заражённую машину (T1105), увеличивая масштаб компрометации жертвы.
Закрепление в системе и замена легитимных приложений
Для постоянного присутствия вредоносное ПО устанавливает и запускает shell command в виде списка LaunchDaemon с произвольным именем, что требует повышенных привилегий и перекликается с поведением по запросу пароля устройства при попытках аутентификации локального пользователя (методы, соответствующие T1056.002 и T1110). Получив разрешения, злоумышленники могут удалить и заменить официальное приложение Ledger Live троянской версией, применяя методы маскировки и уклонения (T1036, T1112).
Соответствие MITRE ATT&CK — ключевые техники
- Выполнение скриптов: T1059.002 (AppleScript).
- Перехват ввода/фишинг учётных данных и клавиатурных событий: T1056.002.
- Brute force / подбор паролей: T1110.
- Кража криптоактивов/доступ к кошелькам: T1555.
- Эксфильтрация по сетевым протоколам: T1041.
- Загрузка и исполнение дополнительного ПО: T1105.
- Маскировка и подмена исполняемых файлов: T1036, устойчивая замена легитимных приложений: T1112.
Последствия для пользователей и организаций
Воздействие Odyssey macOS stealer включает:
- кражу учётных данных для доступа к веб‑сайтам и сервисам;
- утрату контроля над криптовалютными активами вследствие компрометации кошельков;
- утечку личных файлов и заметок;
- возможность постоянного повторного заражения из‑за закрепления в LaunchDaemons и доступности дополнительных полезных данных на сервере злоумышленников.
Рекомендации по защите и обнаружению
Рекомендации для пользователей и ИТ‑команд:
- Не скачивайте установщики Microsoft Teams и других приложений с подозрительных сайтов — используйте официальные каналы.
- Проверяйте целостность и подпись установочных файлов перед запуском.
- Мониторьте и проверяйте записи LaunchDaemons на предмет неизвестных/произвольных задач.
- Контролируйте целостность Ledger Live и иных критичных приложений; при подозрении на компрометацию восстановите приложение из официального источника и проверьте систему на наличие бэкдоров.
- При утечке данных или подозрении на компрометацию кошельков — немедленно переведите средства на безопасные кошельки и смените ключи/пароли.
- Внедрите мониторинг сетевого трафика на предмет неожиданных POST‑запросов к неизвестным IP‑адресам и используйте IDS/EDR для обнаружения необычной активности.
- Используйте доступные правила обнаружения: для выполнения AppleScript Odyssey stealer было разработано правило Yara — его интеграция в средства защиты повысит вероятность раннего обнаружения.
Заключение
Кампания с использованием поддельного сайта Microsoft Teams и Clickfix подчёркивает эволюцию тактик злоумышленников: от имитации популярных сервисов к целенаправленным атакам, направленным на macOS‑окружения и криптовалютные активы. Комплексная защита, контроль загрузок и оперативное внедрение правил обнаружения (включая Yara) — ключевые меры для снижения рисков.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Odyssey macOS: поддельный сайт Teams распространяет stealer через Clickfix".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.