Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Odyssey Stealer для macOS — MaaS-угроза, нацеленная на криптовалюты

3 мин
Исследование выявило сложное вредоносное ПО для macOS под названием Odyssey Stealer, ориентированное на похищение данных пользователей криптовалют. Программа распространяется по модели MaaS (Вредоносное ПО как услуга) и предоставляет злоумышленникам готовую инфраструктуру и инструментарий для проведения кампаний с распределением доходов между операторами и владельцами платформы. Анализ с помощью Censys показал как минимум десять физических хостов, связанных с инфраструктурой command-and-control (C2) Odyssey, преимущественно в Европе: кластеры ASN в Нидерландах и Германии. Также обнаружены одиночные хосты в Сингапуре, Литве и России. Некоторые серверы размещены у bulletproof hosting services, что указывает на расчет на устойчивость к попыткам вывода их из строя. Атака Odyssey состоит из нескольких четко организованных стадий: Основная цель — извлечение конфиденциальных данных с акцентом на доступ к средствам пользователей криптовалют. Среди техник, используемых Odyssey: Панель Odyssey п
Оглавление

Исследование выявило сложное вредоносное ПО для macOS под названием Odyssey Stealer, ориентированное на похищение данных пользователей криптовалют. Программа распространяется по модели MaaS (Вредоносное ПО как услуга) и предоставляет злоумышленникам готовую инфраструктуру и инструментарий для проведения кампаний с распределением доходов между операторами и владельцами платформы.

Краткий обзор и ключевые особенности

  • Цель: сбор конфиденциальной информации, в первую очередь данных криптокошельков и учетных записей веб‑браузеров (например, Firefox, MetaMask).
  • Модель распространения: MaaS — доступ для независимых филиалов через управляющую панель.
  • Инфраструктура: отличительная панель на React и согласованные API‑конечные точки, упрощающие взаимодействие операторов с C2.
  • Происхождение: ребрендинг Poseidon Stealer; в корнях — Atomic macOS Stealer (AMOS).

Инфраструктура и распределение серверов

Анализ с помощью Censys показал как минимум десять физических хостов, связанных с инфраструктурой command-and-control (C2) Odyssey, преимущественно в Европе: кластеры ASN в Нидерландах и Германии. Также обнаружены одиночные хосты в Сингапуре, Литве и России. Некоторые серверы размещены у bulletproof hosting services, что указывает на расчет на устойчивость к попыткам вывода их из строя.

Механизм атаки и этапы кампании

Атака Odyssey состоит из нескольких четко организованных стадий:

  • Дроппер: начальная стадия использует обфусцированный AppleScript, завернутый в shell‑скрипт. Дроппер не только запускает атаку, но и устанавливает минимальный RAT.
  • RAT и закрепление: Trojan‑RAT создаёт LaunchDaemon с случайными именами сервисов для автозапуска и устойчивого присутствия в системе. Каждый экземпляр читает адрес C2 с диска, то есть C2 не закодирован жестко, что усложняет обнаружение статическим анализом.
  • Удаленное управление: вредоносное ПО может выполнять произвольные shell‑команды и загружать собственный прокси‑сервер socks5 для эксфильтрации трафика и дальнейших действий.

Цели кражи данных и используемые методы

Основная цель — извлечение конфиденциальных данных с акцентом на доступ к средствам пользователей криптовалют. Среди техник, используемых Odyssey:

  • Сбор cookies и учетных данных браузеров (особенно Firefox и расширений типа MetaMask).
  • Социальная инженерия: показ поддельного системного диалогового окна для получения пароля macOS, который затем используется для доступа к мастер‑паролю Chrome, хранящемуся в Keychain.
  • Использование случайных имён служб и чтение C2 с диска для повышения скрытности.

Управляющая панель и функциональность для операторов

Панель Odyssey предоставляет операторам набор удобных функций:

  • настройки уведомлений;
  • генератор сборок, позволяющий создавать разные полезные нагрузки;
  • согласованные API‑конечные точки, упрощающие интеграцию и масштабирование кампаний.
Odyssey — это по сути ребрендинг Poseidon Stealer, унаследовавший механики от Atomic macOS Stealer (AMOS).

Авторы и связь с киберпреступным сообществом

Разработка связана с пользователем под псевдонимом Rodrigo4, который активен на русскоязычных форумах, посвящённых киберпреступности. Такое поведение подтверждает наличие коммерческой экосистемы вокруг инструмента и практик обмена между злоумышленниками.

Рекомендации по защите и обнаружению

Эксперты предлагают следующие меры для снижения риска заражения и обнаружения активности Odyssey:

  • Мониторинг необычного использования osascript и shell‑скриптов, запускаемых через AppleScript.
  • Проверка каталога /Library/LaunchDaemons и других мест на предмет LaunchDaemon с непонятными или случайными именами.
  • Блокирование сетевого трафика, относящегося к известным C2 и подозрительным прокси‑подключениям (включая socks5).
  • Обучение пользователей распознавать подозрительные системные запросы паролей и проявлять осторожность при установке приложений.
  • Использование многофакторной аутентификации и изоляция ключей/кошельков от веб‑браузеров, где это возможно.

Заключение

Odyssey Stealer демонстрирует рост профессионализации инструментов киберпреступников: готовая MaaS‑платформа, удобная панель управления и устойчивая инфраструктура повышают эффективность атак. Специалистам по информационной безопасности и пользователям криптовалют следует учитывать специфические индикаторы компрометации, описанные в исследовании, и оперативно внедрять рекомендованные меры защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Odyssey Stealer для macOS — MaaS-угроза, нацеленная на криптовалюты".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются