Odyssey Stealer: macOS zlonamjerni softver

Odyssey Stealer zlonamjerni softver cilja osjetljive informacije kao što su podaci za prijavu, brojevi kreditnih kartica i drugi lični podaci iskorištavajući ranjivosti u popularnim aplikacijama na macOS uređajima, pokazuje istraživanje kompanije Cyfirma. Razumijevanjem taktika koje koristi ovaj zlonamjerni softver, korisnici i organizacije mogu preduzeti proaktivne mjere kako bi se zaštitile od sličnih napada.

ODYSSEY STEALER

Odyssey Stealer je vrsta zlonamjernog softvera koji cilja korisnike macOS operativnog sistema. Koristi taktiku Clickfix, koja uključuje iskorištavanje ranjivosti na internet lokacijama kako bi se zlonamjerni AppleScript isporučio nesvjesnim žrtvama.

Primarni cilj kampanje zlonamjernog softvera Odyssey Stealer je krađa podataka za prijavu sa kompromitovanih sistema. Ova sofisticirana prijetnja koristi tehnike društvenog inženjeringa i eksploataciju u mehanizmima za praćenje klikova na internet lokacijama kako bi rasporedila svoj korisni teret, što izaziva značajnu zabrinutost kod stručnjaka za sajber bezbjednost koji žele da zaštite osjetljive informacije svojih organizacija.

 

Pejzaž prijetnji

Odyssey Stealer predstavlja najnoviju evoluciju zlonamjernog softvera usmjerenog na macOS operativni sistem, pojavljujući se kao rebrendirana verzija Poseidon Stealer zlonamjernog softvera koji je sam nastao kao ogranak AMOS Stealer zlonamjernog softvera. Ova loza je ključna za razumijevanje tehničke sofisticiranosti i potencijalnog uticaja Odyssey Stealer zlonamjernog softvera na njegove žrtve. Ovaj kradljivac podatka prvenstveno cilja korisnike u zapadnim zemljama, kao što su Sjedinjene Države i Evropska unija, dok upadljivo izbjegava žrtve u zemljama Zajednice nezavisnih država (rus. Содружество Независимых Государств) – karakterističan obrazac koji se često povezuje sa rusko-povezanim sajber kriminalnim grupama.

Originalni AMOS Stealer i dalje aktivno održava njegov tvorac “ping3r”, dok je Odyssey Stealer naslijedio i poboljšao mnoge od njegovih osnovnih mogućnosti, uključujući sveobuhvatnu krađu podataka za prijavu internet pregledača, ekstrakciju kriptovalutnih novčanika i prikupljanje lozinki za macOS Keychain. Ovo ukazuje na to da operateri zlonamjernog softvera kontinuirano ažuriraju svoje alate kako bi ostali ispred sajber bezbjednosnih mjera.

Taktike distribucije koje koriste operateri Odyssey Stealer zlonamjernog softvera su posebno vrijedne pažnje. Oni koriste tehniku poznatu kao Clickfix, koja podrazumijeva kreiranje lažnih internet lokacija macOS App Store dizajniranih da iskoriste greške korisnika u kucanju (lažno nazvanih domena). Ovaj pristup je i sofisticiran i efikasan, što korisnicima otežava razlikovanje legitimnih i zlonamjernih internet lokacija.

Jedna od glavnih tehničkih mogućnosti Odyssey Stealer zlonamjernog softvera je njegova sposobnost krađe pristupnih podataka internet pregledača i informacija o kriptovalutnom novčaniku. Ovo uključuje sveobuhvatnu krađu akreditiva internet pregledača, što omogućava zlonamjernim akterima da dobiju pristup osjetljivim podacima sačuvanim u internet pregledačima korisnika. Ovaj kradljivac podatka takođe ima mogućnost da izvuče informacije o kriptovalutnom novčaniku, što predstavlja značajnu prijetnju pojedincima koji se bave finansijskim i kripto aktivnostima. Osim toga, Odyssey Stealer može da prikupi podatke za prijavu za lozinku iz macOS Keychain aplikacije za čuvanje lozinke, pružajući zlonamjernim akterima neograničen pristup osjetljivim lozinkama na nivou sistema.

Pojava Odyssey Stealer zlonamjernog softvera kao konkurentskog proizvoda u rastućem ekosistemu zlonamjernog softvera kao usluge u macOS operativnom sistemu je vrijedna pažnje. Ovaj razvoj događaja ukazuje na to da su različiti zlonamjerni akteri aktivno uključeni u razvoj i održavanje sofisticiranih prijetnji usmjerenih na korisnike macOS operativnog sistema. Činjenica da je Rodrigo, glavni programer Poseidon Stealer zlonamjernog softvera i bivši autor AMOS Stealer zlonamjernog softvera, izrazio interesovanje za Odyssey Stealer sugeriše kontinuiranu konkurenciju između ovih zlonamjernih proizvoda.

 

Analiza napada

Lanac napada počinje kada korisnik slučajno posjeti jednu od lažno nazvanih domena. Po dolasku na internet stranicu, posjetiocima se prikazuje lažni Cloudflare CAPTCHA upit dizajniran da izgleda legitimno. Ispod ovoga, korisnicima macOS operativnog sistema se nalaže da kopiraju Base64 kôdiranu komandu i izvrše je u terminalu.

Ova komanda preuzima i pokreće dugačak AppleScript kôd sa udaljenog C2 servera, koji nije maskiran, što sigurnosnim istraživačima olakšava analizu njenog ponašanja. Nakon što se izvrši na uređaju žrtve, AppleScript kôd prikazuje obmanjujući upit za autentifikaciju dizajniran da snimi lozinku korisnika.

Skripta zatim koristi macOS dscl uslužni program sa parametrom da bi tiho validirala i prikupila podatke za prijavu, držeći zlonamjernu aktivnost skrivenom od žrtve. Ovo se postiže korištenjem ugrađenih bezbjednosnih funkcija macOS operativnog sistema, što korisnicima otežava otkrivanje bilo kakvog sumnjivog ponašanja na njihovim uređajima.

Detaljniji pregled AppleScript kôda otkriva njegovu primarnu svrhu da snimi osjetljive informacije sa uređaja žrtava. Skripta kreira privremeni direktorijum za čuvanje izvučenih podataka, uključujući:

• macOS datoteke iz Keychain aplikacije koje mogu sadržati lozinke, digitalne certifikate i druge povjerljive podatke;
• Podatke internet pregledača i kolačiće, što uključuje istoriju pretrage, lozinke i sesije prijavljivanja;
• Dokumente koji mogu biti bilo koji lokalne datoteke koje mogu imati vrijedne ili povjerljive informacije.

Detaljna analiza C2 servera otkriva njegovu primarnu funkciju: skladištenje zlonamjernog AppleScript kôda dizajniranog za izvršavanje na uređajima žrtava. Ono što dodatno izdvaja ovaj slučaj jeste to što skripte nisu dodatno zamagljene (što je čest trik među zlonamjernim akterima), što omogućava sigurnosnim istraživačima da lakše razumiju kako funkcionišu.

 

C2 serveri uglavnom se nalaze u Rusiji, što je obrazac koji se često povezuje sa rusko-povezanim sajber kriminalnim grupama. Ova geografska lokacija je u skladu sa fokusom kampanje na ciljanje zapadnih korisnika u Sjedinjenim Državama i Evropskoj uniji, dok se izbjegavaju žrtve u zemljama Zajednice nezavisnih država.

 

Preuzimanje podataka

Primarni fokus Odyssey Stealer zlonamjernog softvera leži u izdvajanju podataka vezanih za internet pregledač. Zlonamjerni softver cilja Chrome, pregledače zasnovane na Chromium platformi (Brave, Edge, Opera), Firefox i Safari, ugrožavajući sačuvane lozinke, informacije o plaćanju, istoriju pregledanja i kolačiće sesije. Ovaj sveobuhvatni pristup omogućava zlonamjernim akterima da dobiju pristup osjetljivim korisničkim podacima za prijavu, što im omogućava da obavljaju razne zlonamjerne aktivnosti kao što su phishing napadi ili neovlaštene transakcije.

Odyssey Stealer mogućnosti izdvajanja podataka iz internet pregledača su posebno zabrinjavajuće zbog široke upotrebe ovih pregledača na različitim platformama. Sposobnost zlonamjernog softvera da istovremeno cilja više internet pregledača povećava njegovu efikasnost i čini ga ozbiljnom prijetnjom u današnjem digitalnom okruženju. Osim toga, izdvajanje kolačića sesije omogućava zlonamjernim akterima da otmu korisničke sesije, pružajući im neograničen pristup osjetljivim informacijama.

Odyssey Stealer takođe cilja kripto novčanike, posebno računarske aplikacije (Electrum, Coinomi, Exodus) i proširenja internet pregledača (kao što je MetaMask). Fokus zlonamjernog softvera na ove platforme vjerovatno je vođen sve većom popularnošću kriptovaluta i njihovih povezanih finansijskih transakcija. Ciljajući podatke vezane za kriptovalute, Odyssey Stealer ima za cilj da kompromituje privatne ključeve i početne fraze, omogućavajući zlonamjernim akterima da izvršavaju neovlaštene transakcije ili kradu vrijednu digitalnu imovinu.

Pored ciljanja internet pregledača i kriptovalutnih novčanika, Odyssey Stealer takođe pretražuje i izvlači lične datoteke iz korisničkih direktorijuma Radna površina i Dokumenti. Ovaj širi obim prikupljanja podataka omogućava zlonamjernim akterima da prikupe osjetljive informacije koje prevazilaze podatke za prijavu vezane za internet pregledač ili finansijske transakcije. Tipovi datoteka koje se preuzimaju uključuju .txt, .pdf, .docx, .jpg, .png, .rtf i .kdbx, pružajući sveobuhvatan pregled digitalnog života pojedinca.

Nakon prikupljanja, ugroženi podaci se pakuju u ZIP arhivu koristeći različite algoritme kompresije. Ovo omogućava zlonamjernim akterima da efikasno prenose ukradene informacije preko mreža, uz smanjenje rizika od otkrivanja. Upotreba curl POST zahteva za prenos arhiviranih podataka osigurava da oni pouzdano stignu do servera koje kontrolišu zlonamjerni akteri.

Mehanizam postojanosti zlonamjernog softvera takođe igra ključnu ulogu u njegovoj sposobnosti da uspješno krade osjetljive informacije. Ponovnim pokušajem prenosa podataka do deset puta, Odyssey Stealer može prevazići kvarove mreže i osigurati uspješnu isporuku ukradenih podataka za prijavu ili finansijskih transakcija.

 

UTICAJ

Sajber prijetnja Odyssey Stealer predstavlja složen izazov za stručnjake za sajber bezbjednost, sa dalekosežnim posljedicama i za korisnike i za organizacije.

Jedna od glavnih briga oko ove prijetnje je neovlašteni pristup koji se daje zlonamjernim akterima. To može dovesti do značajnih finansijskih gubitaka kroz krađu intelektualne svojine, štetu po reputaciju i ekonomsku nestabilnost. Štaviše, ugroženi podaci za prijavu predstavljaju značajan rizik za lične podatke pojedinačnih korisnika i internet bezbjednost. Potencijalne posljedice za žrtve su ozbiljne, uključujući dalju eksploataciju od strane zlonamjernih aktera.

Odyssey Stealer kampanja takođe doprinosi široj eroziji povjerenja u digitalne sisteme. Kako korisnici postaju sve svjesniji svoje ranjivosti, povjerenje u internet transakcije i interakcije vjerovatno će opadati. Pored ovih direktnih uticaja, dugoročni efekti ove sajber prijetnje nesumnjivo će biti ozbiljni. Posljedice po pojedince, organizacije i društvo u cjelini moraju pažljivo razmotriti oni koji su odgovorni za politiku i praksu sajber bezbjednosti.

Na kraju krajeva, Odyssey Stealer kampanja služi kao dobar podsjetnik na sveprisutne opasnosti u digitalnom pejzažu. Budnost je neophodna ako se žele ublažiti navedeni rizici i uspostaviti zaštita od razornih posljedica koje je ova prijetnja već počela da izaziva.

 

ZAKLJUČAK

Ova analiza je pružila pregled prijetnje zlonamjernog softvera Odyssey Stealer. Rezultati ukazuju na to da je zlonamjerni softver sposoban da krade osjetljive informacije i izbjegne otkrivanje od strane bezbjednosnog softvera. Važno je napomenuti da sposobnost zlonamjernog softvera da se prilagođava i razvija predstavlja značajne izazove za stručnjake za sajber bezbjednost.

Podaci prikupljeni tokom ove istrage ukazuju na to da je zlonamjerni softver Odyssey Stealer bio aktivan u različitim regionima, ciljajući širok spektar industrija. Rezultati takođe ukazuju na to da je primarni cilj zlonamjernog softvera krađa osjetljivih informacija, uključujući podatke za prijavu i finansijske podatke.

Analiza je pružila sveobuhvatno razumijevanje prijetnje zlonamjernog softvera Odyssey Stealer. Međutim, potrebna su dalja istraživanja kako bi se u potpunosti razumjele njegove mogućnosti i ograničenja.

U svijetlu ovih nalaza, neophodno je da stručnjaci za sajber bezbjednost ostanu budni u svojim naporima da otkriju i spriječe širenje ove vrste zlonamjernog softvera. Uspeh bilo koje strategije ublažavanja zavisiće od kombinacije tehničke stručnosti i svijesti o situaciji u digitalnom prostoru.

 

ZAŠTITA

Kako bi se zaštitili od Odyssey Stealer prijetnje, korisnici i organizacije bi trebao da prate sljedeće preporuke:

1. Korištenje bijele liste aplikacija je ključna mjera za sprečavanje pokretanja neovlaštenih ili zlonamjernih izvršnih datoteka na krajnjim tačkama. Ovo podrazumijeva kreiranje odobrene liste aplikacija kojima je dozvoljeno da se izvršavaju na uređajima organizacije. Na taj način, organizacije mogu osigurati da se na njihovim sistemima pokreće samo pouzdan softver, čime se smanjuje rizik od infekcija zlonamjernim softverom i drugih bezbjednosnih prijetnji;
2. Da bi se održalo bezbjedno okruženje, neophodno je provjeriti izvore iz kojih su aplikacije instalirane. Instalirati aplikacije samo sa renomiranih internet lokacija kao što je zvanična Mac App Store ili provjerene internet stranice programera. Ova praksa pomaže u sprečavanju instaliranja zlonamjernog softvera koji može biti prikriven kao legitimni programi;
3. Blokiranje izvršavanja osascript alatke, osim ako nije eksplicitno potrebno za poslovne operacije, je preporučena bezbjednosna mjera za ublažavanje potencijalnih prijetnji. Osascript alatka može potencijalno omogućiti zlonamjernim akterima da izvršavaju proizvoljni kôd na pogođenim sistemima ako se ne kontroliše pravilno. Ograničavanjem njene upotrebe, organizacije mogu smanje rizik od eksploatacije;
4. Razvijanje i implementacija bezbjednosnih referentnih vrijednosti je neophodno za kreiranje osnovnih bezbjednosnih procedura i organizacionih politika. Ove smjernice služe kao osnova za osiguravanje da su svi uređaji organizacije konfigurisani sa adekvatnim bezbjednosnim mjerama kako bi se spriječile potencijalne prijetnje kao što su infekcije zlonamjernim softverom;
5. Treba razviti sveobuhvatni plan odgovora na sajber prijetnju kako bi se definisali koraci koje treba preduzeti u slučaju infekcije zlonamjernim softverom ili drugih bezbjednosnih incidenata. Ovo uključuje izolovanje pogođenih sistema, obavještavanje relevantnih zainteresovanih strana i implementaciju procedura zadržavanja kako bi se smanjio uticaj na poslovne operacije;
6. Programi obuke o podizanju svijesti o sajber bezbjednosti su neophodni za zaštitu od napada društvenog inženjeringa i drugih vrsta sajber prijetnji. Organizacije bi trebalo da obezbijede redovne obuke kako bi edukovale zaposlene o potencijalnim rizicima i najboljim praksama za održavanje bezbjednog radnog okruženja;
7. Primjena mjera bezbjednosti krajnjih uređaja je ključna za zaštitu uređaja organizacije od potencijalnih prijetnji. Ovo uključuje instaliranje antivirusnog softvera, zaštitnih zidova i drugih vrsta bezbjednosnih alata dizajniranih za otkrivanje i sprečavanje infekcija zlonamjernim softverom.
8. Sprovođenje redovnih bezbjednosnih revizija pomaže u identifikaciji ranjivosti u sistemu koje zlonamjerni akteri mogu iskoristiti. Ove revizije treba da uključuju temeljan pregled svih uređaja, mreža i sistema organizacije kako bi se osiguralo da su konfigurisani sa odgovarajućim bezbjednosnim mjerama;
9. Sprovođenje politika jakih lozinki je neophodno za održavanje bezbjednog radnog okruženja. Ovo uključuje zahtev da zaposleni koriste složene lozinke koje ispunjavaju određene kriterijume kao što su dužina, složenost i datumi isteka;
10. Ograničavanje privilegija i pristupa osjetljivim podacima i sistemima pomaže u sprečavanju neovlaštenih pojedinaca da pristupe resursima kompanije. Organizacije treba da primijene politike kontrole pristupa zasnovane na ulogama (eng. role-based access control – RBAC) kako bi se osiguralo da samo ovlašteno osoblje ima pristup potrebnim informacijama i sistemima;
11. Redovna ažuriranja softvera i ispravke su neophodne za otklanjanje ranjivosti u operativnim sistemima, aplikacijama i drugim vrstama softvera koje zlonamjerni akteri mogu iskoristiti. Organizacije moraju dati prioritet redovnom ažuriranju konfiguracija svog softvera kako bi održale bezbjedno okruženje;
12. Implementacija segmentacije mreže podrazumijeva podjelu internih mreža organizacije na odvojene segmente ili zone na osnovu specifičnih bezbjednosnih zahteva. Ovo pomaže u sprečavanju bočnog kretanja u slučaju napada, što otežava zlonamjernim akterima širenje zlonamjernog softvera po različitim dijelovima sistema.