Cyfirma araştırma ekibi tarafından yakın zamanda yapılan bir keşifte, Odyssey Stealer olarak adlandırılan sofistike bir kötü amaçlı yazılım kampanyası ortaya çıktı ve MacOS kullanıcılarını ClickFix taktikleri olarak bilinen aldatıcı bir yöntemle hedefliyor.
Bu kampanya, MacOS App Store, Finans Platformları veya Kripto para birimi haber portalları gibi meşru olanları taklit eden kötü amaçlı web sitelerini kullanıcıları zararlı elma metinleri (OASScripts) yürütmeye kandırmak için kötü niyetli alanlardan yararlanır.
Bu komut dosyaları, tarayıcı çerezleri, kaydedilmiş şifreler, kripto para birimi cüzdanı bilgileri ve tarayıcı uzantıları dahil olmak üzere hassas verileri hasat etmek için tasarlanmıştır ve bireyler için, özellikle finansal ve kripto faaliyetlerine katılanlar için ciddi bir tehdit oluşturur.
.png
)
Odyssey Stealer MacOS kullanıcılarını hedefliyor
Öncelikle Rusya’da barındırılan bir komuta ve kontrol (C2) paneline bağlı operasyon, ABD ve Avrupa Birliği’ndeki Batılı kullanıcıları önceliklendiren profesyonel sınıf bir veri hırsızlığı mekanizmasını sergiliyor ve BD ülkelerindeki kurbanlardan kaçınırken, Rusça rastlantısal siberbriminal gruplarla ilişkili bir model.
ClickFix tekniği, kullanıcı yazma hatalarından yararlanmak için tasarlanmış görsel olarak benzer veya yazım hatalı alanların oluşturulmasıyla başlar.
Bu kötü niyetli siteleri ziyaret ettikten sonra, kullanıcılar, temel 64 kodlu bir komutu terminallerine kopyalayıp yapıştırma talimatları eşliğinde sahte bir Cloudflare tarzı captcha istemi ile karşılanır.
Cyfirma’ya göre, bu komut Odyssey1 gibi sunuculardan gözlemsiz bir OSascript getiriyor ve yürütüyor[.]bir dizi kötü amaçlı faaliyeti tetikleyen belirli IP adreslerine veya belirli IP adreslerine.
Finans ve kripto meraklıları yüksek riskli
Komut dosyası, çalınan verileri depolamak, MacOS anahtarlık dosyalarını kimlik bilgisi hırsızlığı için kopyalamak ve kullanıcı şifrelerini yakalamak için sahte kimlik doğrulama istemlerini dağıtır.
Ayrıca, Chrome, Firefox ve Safari’den gelen tarayıcı verilerinin yanı sıra, özel anahtarlar, tohum cümleleri, oturum jetonları ve masaüstü klasörlerden gelen kişisel dosyaların yanı sıra Electrum, Coinomi ve Çıkış gibi masaüstü kripto para cüzdanlarını hedefler.
Çalınan veriler daha sonra bir ZIP dosyasına (out.zip) sıkıştırılır ve saldırgan kontrollü sunuculara kıvrık post isteği ile eksfiltratlanır ve aralıklı ağ koşullarında bile teslimatı sağlayan kalıcı yeniden deneme mekanizmaları ile.
Poseidon Stealer’ın yeniden markalı bir evrimi ve Amos Stealer’ın çatalı olan Odyssey Stealer, macOS Hizmet Olarak Kötü Yazılım ekosistemindeki gelişmiş yetenekleri gösterir.
Kontrol paneli, saldırganlara enfekte olmuş cihazları yönetmek, kötü amaçlı yazılım yapılarını özelleştirmek ve çalıntı çerezleri kullanarak tarayıcı oturumlarını ele geçirmek için yapılandırılmış bir arayüz sunar.
Kötü amaçlı yazılımların 100’den fazla tarayıcı uzantısına odaklanması, özellikle Metamask gibi kripto para birimi ile ilgili olanlar, finansal kazancı en üst düzeye çıkarma niyetinin altını çiziyor.
Bu tehditle mücadele etmek için kuruluşlar ve bireyler güçlü uç nokta güvenlik çözümleri benimsemeli, tehdit istihbaratını uygulamalı ve güvenlik duvarlarını bilinen kötü niyetli IP’leri ve alanları engellemek için yapılandırmalıdır.
Sürekli ağ izleme, davranış temelli anomali tespiti ve güvenlik bilinci eğitimi, bu tür sosyal mühendislik saldırılarından kaynaklanan riskleri azaltmak için kritik öneme sahiptir.
Odyssey Stealer, Poseidon ve Amos’un arkasındaki önemli bir figür olan “Rodrigo” nun şüpheli bakımı altında gelişmeye devam ederken, uyanıklık ve uyarlanabilir savunmalar çok önemlidir.
Uzlaşma Göstergeleri (IOC)
| Gösterge | Notlar |
|---|---|
| Appmacosx[.]com | Kötü niyetli alan |
| finansman[.]com | Kötü niyetli alan |
| Kriptoinfo-News[.]com | Kötü niyetli alan |
| Odyssey1[.]ile | Odyssey C2 Panel |
| 45[.]135.232.33 | Odyssey C2 Panel |
| A0BDF6F602AF5EFEA0FD96E659AC553E0E23362DA6AECB13770256A254EF55 | Elma betiği |