Исследователи безопасности из Moonlock Lab выяснили, что новая волна вредоносного ПО Odyssey Stealer нацелена на пользователей macOS более чем в 100 странах. Последняя версия создана для кражи паролей, данных браузера, криптовалютных кошельков, учётных данных облачных сервисов и файлов разработчиков, сохраняя при этом долгосрочный доступ к заражённым устройствам.
Исследователи сообщили, что вредоносное ПО вышло за рамки простой кражи учётных данных. После установки оно может заменять легитимные приложения криптовалютных кошельков модифицированными версиями, предназначенными для перехвата учётных данных кошельков и информации о транзакциях.
Вредоносная программа крадет учётные данные для входа, файлы cookie и данные автозаполнения из основных браузеров, включая Chrome, Brave, Microsoft Edge, Vivaldi, Opera, Arc, Firefox и Waterfox.
Для пользователей криптовалют Odyssey ищет файлы кошельков в более чем 16 десктоп-приложениях, включая Electrum, Exodus, Ledger Live, Trezor Suite, Bitcoin Core, Litecoin Core, Dash Core и Monero, а также сканирует около 300 идентификаторов расширений браузеров для криптовалют на предмет данных кошельков и приватных ключей.
Помимо криптоактивов, вредоносная программа собирает ключи SSH, базы данных Apple Keychain, данные Telegram и Discord, учётные данные FileZilla, историю терминала и файлы конфигурации для AWS, Google Cloud, Microsoft Azure и Docker. Она также пытается получить локальный пароль пользователя macOS, используя встроенный инструмент аутентификации dscl.
Исследователи Moonlock утверждают, что обычно Odyssey распространяется с помощью метода атаки ClickFix. Пользователи перенаправляются на поддельные веб-сайты, которые очень похожи на Apple App Store, новостные платформы о криптовалютах или финансовые сервисы.
На этих страницах отображается поддельный экран проверки Cloudflare, предлагающий пользователям macOS скопировать и вставить команду в Терминал. Вместо завершения проверки команда загружает и выполняет AppleScript, который устанавливает вредоносное ПО.
Скрипт создаёт постоянно работающие службы LaunchDaemon, что позволяет Odyssey выживать после перезагрузки системы и непрерывно взаимодействовать с серверами, контролируемыми злоумышленником.
Вредоносная программа также отображает поддельный запрос пароля для перехвата пароля пользователя macOS. После проверки он копирует файлы Keychain, базы данных браузера, файлы кошелька и личные документы, после чего сжимает всё в ZIP-архив и загружает его на свой командный сервер. Если загрузка не удаётся, программа автоматически повторяет попытку несколько раз.
Считается, что вредоносное ПО нацелено на пользователей в США и Европе, в значительной степени избегая жителей СНГ.

Заместитель главного редактора Happy Coin News. Образование: экономист. Второе образование маркетинг. В криптоиндустрии с 2014 года. Неоднократно выступал в качестве эксперта на РБК. Биткоин — это не спекуляции, а свобода. Но, свобода требует личной ответственности.