11/08/25
/Apple2-Nov-11-2021-10-19-33-58-AM.jpg?width=350&height=196&name=Apple2-Nov-11-2021-10-19-33-58-AM.jpg)
Атака использует усовершенствованную технику ClickFix, сочетающую фишинг и элементы социальной инженерии, для кражи данных криптовалютных кошельков, учётных записей браузеров и конфиденциальных файлов.
Выявленный в августе 2025 года вредонос Odyssey Stealer стал развитием прежних ClickFix-атак, ранее нацеленных на Windows, и теперь применяется против устройств Apple через поддельные страницы проверки CAPTCHA, пишет Securitylab.
Запускаясь с сайта «tradingviewen[.]com», схема имитирует проверку «Я не робот», но предварительно определяет операционную систему пользователя, чтобы выдать индивидуальные инструкции. Владельцам macOS предлагается вызвать поиск Spotlight, открыть Terminal, а затем вставить подготовленную команду. Этот код расшифровывает закодированную в Base64 строку, а затем загружает и выполняет с удалённого сервера AppleScript с сильной обфускацией. При этом создаётся впечатление законной процедуры — ввод «кода проверки» и системного пароля, что фактически даёт вредоносу привилегированный доступ.
Выполнившись, AppleScript осуществляет масштабное извлечение данных: собирает содержимое криптокошельков Electrum, Exodus, Litecoin и Wasabi в браузерах на базе Chromium, выгружает куки, логины, автозаполнение и историю форм, копирует документы с расширениями .txt, .pdf, .docx и .key с рабочего стола и из папки документов, а также экспортирует куки Safari, заметки Apple и файлы Keychain. Для кражи криптоактивов он дополнительно сканирует локальное хранилище и IndexedDB в поисках расширений и профилей.
Для усложнения анализа внедрены многоуровневая обфускация и случайная генерация строк. Все собранные данные упаковываются в архив /tmp/out.zip и передаются на управляющий сервер 45.146.130[.]131/log через curl. На этом же хосте работает панель управления Odyssey Stealer, где злоумышленники получают доступ к выгрузкам. После отправки информации вредонос удаляет временные каталоги и сам архив, чтобы минимизировать следы на устройстве и затруднить расследование.
