Odyssey Stealer، جدیدترین بدافزار macOS است که از روش ClickFix بهره میبرد تا کاربران را فریب دهد فایلهای AppleScript مخرب را در سیستم خود اجرا کنند. این ابزار که محصول تکاملی بدافزارهای AMOS و Poseidon است، با هدف کاربران رمزارز و مرورگرهای وب در جهان غرب منتشر شده .
🛠️ روش نفوذ (ClickFix)
کاربر وارد وبسایتی میشود که اسم دامنهاش کمی شبیه سایت واقعی App Store یا سرویس مالی است (typosquatted).
صفحهای شبیه Cloudflare CAPTCHA نمایش داده میشود.
از کاربر خواسته میشود تا دستور base64 رمزگذاریشده را در Terminal وارد کند.
دستور، یک AppleScript مخرب را دانلود و اجرا میکند
🎯 قابلیتهای این بدافزار
درخواست رمز عبور کاربر برای Keychain و استخراج اطلاعات
سرقت کوکیها، رمزهای ذخیره شده و دادههای مربوط به کیف پول رمزارز (Electrum, Coinomi, Exodus) و افزونههایی مانند MetaMask
جمعآوری فایلهای کاربری مانند
.txt,.pdf,.docx,.jpg,.kdbxفشردهسازی دادهها در
/tmp/lovemrtrump/out.zipو ارسال آن توسطcurl, با تلاش مجدد تا ۱۰ بار
🔎 زیرساخت و کنترل
مهاجمان از پنلی تحت وب برای مدیریت دستگاههای آلوده و دادههای سرقتشده استفاده میکنند
شامل داشبورد، ساخت فایل نصبی مخرب (malware builder) و قابلیت بازگردانی Google Cookies
بیشتر سرورها در روسیه یافت شدهاند
🧬 منبع و پیشینه
این بدافزار یک نسخه بازآرایی شده از Poseidon Stealer (خودش نسخهای از AMOS) است
«Rodrigo»، نویسنده اصلی AMOS، در توسعه Odyssey نیز نقش دارد
🛡️ توصیههای امنیتی
اجتناب از اجرا کردن AppleScript از منابع ناشناس
مسدودسازی osascript مگر در شرایط ضروری via کنترل برنامهها
پیادهسازی Whitelist کردن برنامهها
استفاده از نظارت رفتاری و مانیتورهای real-time
مسدودسازی IP یا دامنههای مخرب
آموزش کاربران به عدم ورود به سایتهای جعلی و تایپ URL دستی
یک نظر