Исследователи продолжают фиксировать атаки вредоносной программы Odyssey на владельцев компьютеров Mac. Она крадёт пароли, файлы, связки ключей, сеансовые файлы браузеров и данные криптовалютных кошельков. После первой выгрузки информации заражение не заканчивается: Odyssey закрепляется в системе, принимает команды с удалённого сервера и может заменить настоящие приложения Ledger Live и Trezor Suite поддельными версиями.
Публикация CyberPress от 10 июля называет происходящее новой глобальной волной и сообщает об атаках более чем в 100 странах. Открытые технические отчёты подтверждают активное развитие Odyssey и широкое распространение её инфраструктуры, но не содержат проверяемой статистики заражений по сотне государств. Поэтому географическую оценку следует воспринимать как данные телеметрии одного из защитных продуктов, а не как полный подсчёт пострадавших компьютеров.
Сама Odyssey появилась раньше. Это коммерческий набор для кражи данных, ориентированный на macOS и криптовалютную отрасль. Разработчики обслуживают управляющие серверы и административную панель, а отдельные заказчики арендуют доступ, создают сборки и распространяют их через фальшивые сайты, рекламу, сообщения и поддельные установщики.
Odyssey проверяет профили Chrome, Brave, Microsoft Edge, Vivaldi, Opera, Arc и других браузеров на основе Chromium. Из них извлекаются сохранённые пароли, история заполнения форм, файлы cookie и данные расширений. Firefox и Waterfox атакуются отдельно: программа копирует базы с учётными записями, cookie и ключами, необходимыми для расшифровки сохранённых паролей.
Особое внимание уделяется браузерным криптокошелькам. В изученных сборках находился список из 203 идентификаторов расширений, включая MetaMask, Phantom, Coinbase Wallet, TronLink и Ronin Wallet. Для каждого расширения Odyssey ищет локальное хранилище и базы IndexedDB, где могут находиться настройки, сведения об аккаунте и зашифрованные хранилища ключей.
Список настольных программ состоит как минимум из 18 кошельков. Среди целей — Electrum, Exodus, Atomic Wallet, Ledger Live, Trezor Suite, Bitcoin Core, Monero, Wasabi и Sparrow. Исследование Censys также показало, что Odyssey работает как коммерческая платформа с отдельными сборками для арендаторов и общей управляющей инфраструктурой.
Большинство известных цепочек Odyssey не используют уязвимость нулевого дня. Атака опирается на социальную инженерию: пользователь сам запускает приложение или вставляет полученную команду в Терминал.
Один из распространённых сценариев маскируется под проверку CAPTCHA. Фальшивая страница предлагает посетителю доказать, что он не робот, открыть Терминал и вставить скопированную команду. Закодированная строка загружает AppleScript — сценарий автоматизации macOS — и запускает его через штатную программу osascript.
Другой вариант распространялся в образах диска DMG под видом обновлений Google Meet и других знакомых приложений. После запуска появлялась правдоподобная панель «технического специалиста», созданная на штатной платформе SwiftUI. В это время приложение незаметно загружало дополнительный сценарий.
Затем пользователь видел поддельное системное окно с просьбой ввести пароль от Mac якобы для установки вспомогательного компонента. Введённая комбинация проверялась командой dscl . authonly. Это позволяло злоумышленникам сразу убедиться, что пароль настоящий.
CYFIRMA находила такие загрузчики на доменах, похожих на сайты финансовых сервисов, криптовалютных изданий и магазина приложений Apple. Поддельные страницы копировали внешний вид проверки Cloudflare и давали отдельную инструкцию для владельцев macOS.
Системный пароль нужен Odyssey сразу для нескольких операций. Программа использует его при обращении к Связке ключей, установке фоновой службы и замене приложений в каталоге /Applications.
Связка ключей macOS хранит пароли, сертификаты, закрытые ключи и другие секреты. Простого копирования файла базы недостаточно для мгновенного чтения всей информации, но украденный пароль пользователя значительно упрощает расшифровку и последующее использование сохранённых данных.
Odyssey копирует базу login.keychain-db, содержимое Apple Notes, файлы cookie Safari и сведения из папок «Рабочий стол» и «Документы». Операторы могут настроить список интересующих расширений файлов. В известных образцах встречались документы, текстовые файлы, базы менеджеров паролей, ключи и файлы с расширениями .wallet и .seed.
Forcepoint проследила полный цикл одной из кампаний: собранная информация помещалась в архив /tmp/out.zip, после чего отправлялась на адрес управляющего сервера обычной командой curl. Временные каталоги и архив удалялись после передачи, что сокращало количество следов на компьютере.
Самая опасная функция Odyssey связана с подменой программ для аппаратных кошельков. Вредонос проверяет наличие Ledger Live и Trezor Suite, удаляет настоящее приложение и устанавливает на его место подготовленную злоумышленниками версию.
Подделки представляют собой упрощённые приложения на SwiftUI и WebKit. Они открывают содержимое с сервера атакующих и внешне имитируют интерфейс кошелька. Пользователь может решить, что произошёл обычный сбой синхронизации или требуется восстановление доступа.
Такой экран способен запросить исходную фразу — набор слов, из которого восстанавливаются закрытые ключи криптокошелька. Получив эту фразу, преступник может импортировать кошелёк на другом устройстве и распоряжаться активами без физического доступа к аппаратному носителю.
Аппаратный кошелёк при этом не взламывается напрямую. Компрометируется компьютер и интерфейс, которому доверяет его владелец. Защита аппаратного устройства теряет смысл, когда человек самостоятельно вводит исходную фразу в поддельную программу.
Jamf Threat Labs обнаружила вариант, который заменял Ledger Live загруженной с управляющего сервера неподписанной копией. Исследователи также находили сборки Odyssey, подписанные действующим сертификатом разработчика и заверенные Apple. Сертификат позднее отозвали после передачи образцов компании.
Обычный стилер завершает работу после сбора данных. Odyssey устанавливает дополнительный компонент удалённого управления.
В каталоге /Library/LaunchDaemons/ создаётся файл с названием вида com.12345.plist. LaunchDaemon — штатный механизм macOS для запуска фоновых служб при загрузке системы. Параметры RunAtLoad и KeepAlive позволяют вредоносному сценарию стартовать снова и продолжать работу.
Адрес управляющего сервера, имя арендатора платформы и идентификатор заражённого компьютера сохраняются в скрытых файлах домашнего каталога. Сам компонент закрепления может не содержать адрес сервера прямо в коде, что усложняет поиск статическими средствами.
Каждые 60 секунд бэкдор запрашивает новые инструкции. Доступны команды для повторного заражения, запуска произвольной команды оболочки, удаления вредоносного компонента и включения прокси-сервера SOCKS5. Последняя функция превращает Mac в промежуточный узел: оператор может направлять через него свой трафик или обращаться к ресурсам, доступным из сети жертвы.
Такой компьютер становится опасен для работодателя даже при отсутствии криптовалюты. Украденные ключи SSH, облачные настройки и файлы разработчика могут дать доступ к репозиториям, серверам, контейнерной инфраструктуре и рабочим учётным записям.
Разработчики предлагают Odyssey как готовый сервис. Они содержат административную панель, серверы управления, конструктор сборок и общие дополнительные компоненты. Арендаторы отвечают за рекламу, поддельные сайты, рассылки и выбор конкретных жертв.
Панель позволяет создать сборку для разных версий macOS, изменить значок и текст окна с запросом пароля, выбрать типы файлов для кражи и подключить уведомления через Telegram. В ней отображаются заражённые компьютеры, страны, версии системы и найденные кошельки.
Операторы могут сортировать выгруженные данные по упоминаниям Coinbase, Binance, PayPal и других ценных сервисов. Отдельные каналы уведомлений предусмотрены для найденных криптокошельков и введённых исходных фраз Ledger.
Исследователи нашли десять физических серверов, связанных с Odyssey. Они размещались в Нидерландах, Германии, Литве, Сингапуре и России. Часть узлов уже отключена, другие оставались активными на момент февральского исследования. Разные управляющие панели имели общие элементы интерфейса, одинаковые файлы и характерные адреса программных интерфейсов.
Платформа происходит от Poseidon Stealer, а тот унаследовал значительную часть кода Atomic macOS Stealer. Совпадают способы доставки через AppleScript, списки браузерных каталогов, идентификаторы расширений, приёмы кражи Связки ключей и механизм закрепления через LaunchDaemon. Название Odyssey начало использоваться после очередной смены владельцев и оформления проекта в 2025 году.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.