Odyssey Stealer – سرقت اطلاعات macOS با استفاده از تکنیک ClickFix

Odyssey Stealer، جدیدترین بدافزار macOS است که از روش ClickFix بهره‌ می‌برد تا کاربران را فریب دهد فایل‌های AppleScript مخرب را در سیستم خود اجرا کنند. این ابزار که محصول تکاملی بدافزار‌های AMOS و Poseidon است، با هدف کاربران رمزارز و مرورگرهای وب در جهان غرب منتشر شده .

---

🛠️ روش نفوذ (ClickFix)

1. کاربر وارد وب‌سایتی می‌شود که اسم دامنه‌اش کمی شبیه سایت واقعی App Store یا سرویس مالی است (typosquatted).

2. صفحه‌ای شبیه Cloudflare CAPTCHA نمایش داده می‌شود.

3. از کاربر خواسته می‌شود تا دستور base64 رمزگذاری‌شده را در Terminal وارد کند.

4. دستور، یک AppleScript مخرب را دانلود و اجرا می‌کند

5. 

---

🎯 قابلیت‌های این بدافزار

• درخواست رمز عبور کاربر برای Keychain و استخراج اطلاعات

• سرقت کوکی‌ها، رمزهای ذخیره شده و داده‌های مربوط به کیف پول رمزارز (Electrum, Coinomi, Exodus) و افزونه‌هایی مانند MetaMask

• جمع‌آوری فایل‌های کاربری مانند .txt, .pdf, .docx, .jpg, .kdbx

• فشرده‌سازی داده‌ها در /tmp/lovemrtrump/out.zip و ارسال آن توسط curl, با تلاش مجدد تا ۱۰ بار

---

🔎 زیرساخت و کنترل

• مهاجمان از پنلی تحت وب برای مدیریت دستگاه‌های آلوده و داده‌های سرقت‌شده استفاده می‌کنند

• شامل داشبورد، ساخت فایل‌ نصبی مخرب (malware builder) و قابلیت بازگردانی Google Cookies

• بیشتر سرورها در روسیه یافت شده‌اند

---

🧬 منبع و پیشینه

• این بدافزار یک نسخه بازآرایی شده از Poseidon Stealer (خودش نسخه‌ای از AMOS) است

• «Rodrigo»، نویسنده اصلی AMOS، در توسعه Odyssey نیز نقش دارد

---

🛡️ توصیه‌های امنیتی

1. اجتناب از اجرا کردن AppleScript از منابع ناشناس

2. مسدودسازی osascript مگر در شرایط ضروری via کنترل برنامه‌ها

3. پیاده‌سازی Whitelist کردن برنامه‌ها

4. استفاده از نظارت رفتاری و مانیتورهای real-time

5. مسدودسازی IP یا دامنه‌های مخرب

6. آموزش کاربران به عدم ورود به سایت‌های جعلی و تایپ URL دستی