Siber suçlular, tehlikeli Odyssey Stealer kötü amaçlı yazılımlarını dağıtmak için hileli bir Microsoft Teams indirme sitesini kullanan sofistike yeni bir kampanya uygulayarak macOS kullanıcılarına yönelik saldırılarını artırdılar.
Bu gelişme, öncelikle kullanıcıları sahte ticaret platformları aracılığıyla hedefleyen önceki saldırılardan önemli bir evrimi temsil etmektedir.
Kötü niyetli kampanya ilk olarak Ağustos 2025’in başlarında, Forcepoint’teki güvenlik araştırmacılarının Odyssey Stealer’ı teslim etmek için sahte TradingView siteleri kullanarak saldırıları belgeledikleri zaman ortaya çıktı.
Bununla birlikte, CloudSek’in tehdit istihbarat platformu Triad tarafından yapılan son altyapı analizi, aynı tehdit aktörlerinin, dünyanın en yaygın kullanılan işbirliği platformlarından biri olan Microsoft ekiplerini taklit etmek için operasyonlarını genişlettiğini ortaya koydu.
Saldırganlar Domain TeamSonsoft’u kaydetti[.]com Onların hileli Microsoft takımları indirme sayfası, resmi Microsoft markalaşma ve şüphesiz kurbanları aldatmak için logolar ile.
Araştırmacılar, gelişmiş tehdit avcılık teknikleri aracılığıyla, aynı kötü niyetli altyapı kümesine ait 24 benzersiz IP adresi belirlediler ve bu operasyonun önemli ölçeğini gösterdi.
Saldırı, meşru yazılımlara kullanıcı güvenini kullanan sofistike bir “ClickFix” metodolojisini takip ediyor.
Mağdurlar sahte Microsoft Teams sitesini ziyaret ettiklerinde ve resmi başvuru olduğuna inandıkları şeyi indirmeye çalıştıklarında, bunlara terminal uygulamalarına kopyalayıp yapıştırma komutu ile sunulur.
![Açılış Sayfası - TeamSonsoft[.]com.](https://gbhackers.com/wp-content/uploads/2025/09/68baa0ce12a83b7acab005e4_18cec8e7-1024x910.png)
MacOS kullanıcıları için, bu kopyalanan komut, kod çözüldüğünde ve yürütüldüğünde kapsamlı bir AppleScript tabanlı çalan başlatan Base64 kodlu bir yük içerir.
Kötü amaçlı yazılım, herhangi bir yazılım istismarına ihtiyaç duymadan enfekte sistemlerden hassas verileri sistematik olarak hasat ederek, tespit edilmesini önlemek için meşru sistem işlevlerine dayanarak sistematik olarak hassas verileri hasat eder.
Kapsamlı Veri hırsızlığı yetenekleri
Odyssey Stealer, veri toplama yeteneklerinde endişe verici bir sofistike olduğunu göstermektedir. Kötü amaçlı yazılım, enfekte makine hakkında donanım ve yazılım ayrıntıları toplamak için System_Profiler yardımcı programı aracılığıyla sistem keşifinden başlayarak birden fazla hassas bilgi kategorisini hedefler.
Stealer, özellikle chrome anahtarlık öğelerine erişmeye çalışan ve kullanıcının cihaz şifresini isteyen sahte sistem iletişim kutuları sunan kalıcı bir kimlik doğrulama döngüsü uygulamak için özellikle kimlik hırsızlığına odaklanır.
Bu sosyal mühendislik taktiği, kötü amaçlı yazılımın daha invaziv operasyonları için gerekli olan yüksek ayrıcalıkları elde etmesini sağlar.
Belki de en önemlisi, kötü amaçlı yazılımların kripto para birimi varlıklarının kapsamlı hedeflemesidir.
Stealer, metamask, Electrum, Exodus, Coinomi ve Ledger Live ve Trezor Suite gibi donanım cüzdan uygulamaları gibi popüler platformlar dahil olmak üzere düzinelerce kripto para cüzdanından ve tarayıcı uzantılarından veri arar ve kopyalar.
Kötü amaçlı yazılım ayrıca tarayıcı çerezlerini, kaydetmiş şifreleri, formları oluşturur ve hatta Apple Notes veritabanlarını hasat eder.
Veri hırsızlığının ötesinde, Odyssey Stealer, tehlikeye atılan sistemlere uzun vadeli erişimi sürdürmek için birden fazla kalıcılık mekanizması uygular.
Kötü amaçlı yazılım, komut ve kontrol sunucusundan ek yükler indirir ve LaunchDaemons aracılığıyla kalıcılık oluşturur ve sistem yeniden başladıktan sonra bile çalışmaya devam etmesini sağlar.
Özellikle sapkın bir hareketle, kötü amaçlı yazılım, meşru defter canlı uygulamalarını, saldırganın altyapısından indirilen truva atı sürümleriyle tamamen değiştirir.
Bu değiştirme stratejisi, suçluların kripto para işlemlerini engellemelerine ve potansiyel olarak dijital varlıkları doğrudan kullanıcıların donanım cüzdanlarından çalmasına olanak tanır.
Çalınan tüm veriler, saldırganın komut ve kontrol sunucusuna IP adresinden 185.93.89’daki komut ve kontrol sunucusuna eklenmeden önce sistemin geçici dizininde depolanan bir zip arşivine sıkıştırılır[.]62.
Aynı altyapı ek kötü amaçlı yüklere ev sahipliği yapar ve hatta Odyssey Stealer işlemi için bir giriş paneli tutar.
Başarılı veri iletiminden sonra, kötü amaçlı yazılım, geçici dosyaları ve çalışma dizinlerini kaldırarak kanıtları temizlemeye çalışarak, adli analizi güvenlik araştırmacıları ve olay müdahale ekipleri için daha zor hale getirir.
Çıkarımlar ve öneriler
Bu kampanya, tarihsel olarak Windows kullanıcılarından daha az kötü amaçlı yazılım tehdidi ile karşılaşan MacOS kullanıcılarını hedefleyen giderek daha karmaşık bir saldırı eğilimini temsil ediyor.
Güvenilir marka kimliğine bürünme ve ileri kaçaklama teknikleri yoluyla sosyal mühendisliğin birleşimi bu saldırıları özellikle tehlikeli hale getirmektedir.
Kullanıcılar yazılım indirirken çok dikkatli olmalı, her zaman resmi satıcı web sitelerine eriştiklerini ve tanıdık olmayan kaynaklardan kopya yapıştırma kurulum komutlarından kaçındıklarını doğrulamalıdır.
Kuruluşlar, şüpheli Applescript yürütme ve olağandışı veri erişim modellerini tanımlayabilen kapsamlı uç nokta algılama ve yanıt çözümleri uygulamalıdır.
TradingView taklit edilmesinden Microsoft ekiplerine evrim, bu tehdit aktörlerinin taktiklerini popüler platform ve hizmetlerden yararlanmaya adapte olmaya devam edeceğini ve hem bireysel kullanıcılar hem de kurumsal güvenlik ekipleri için sürekli uyanıklığı gerekli kılacağını gösteriyor.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.