Pesquisadores de segurança identificaram uma nova campanha de malware direcionada aos usuários do macOS por meio de uma sofisticada técnica ClickFix que combina phishing e engenharia social para roubar detalhes da carteira de criptomoedas, credenciais do navegador e dados pessoais confidenciais.
O malware Odyssey Stealer, descoberto por pesquisadores do X-Labs em agosto de 2025, representa uma evolução dos ataques anteriores do ClickFix que anteriormente se concentravam em sistemas Windows, agora se expandindo para comprometer dispositivos Apple por meio de páginas falsas de verificação CAPTCHA.
Páginas CAPTCHA Falsas Entregam Ataques Baseados em Terminal
O ataque começa quando os usuários visitam o site malicioso “tradingviewen[.]com”, que apresenta o que parece ser uma página legítima de verificação CAPTCHA.
No entanto, esta página foi projetada especificamente para detectar o sistema operacional do usuário e fornecer instruções personalizadas para cada plataforma.
Nos sistemas macOS, as vítimas são solicitadas a abrir o Terminal por meio do Command+Space, copiar o código fornecido e colá-lo no aplicativo do terminal.
Quando executado, o comando aparentemente inócuo decodifica uma string codificada em Base64 que baixa e executa um AppleScript altamente ofuscado de um servidor remoto em “45.146.130[.]131/d/vipx14350.”
O aspecto da engenharia social é particularmente sofisticado, pois o CAPTCHA falso Solicita que os usuários executem ações que pareçam legítimas, copiando e colando o código de verificação.
Ao contrário do malware tradicional que coloca arquivos binários no sistema, essa abordagem é executada diretamente pelo terminal, dificultando a detecção de ferramentas de segurança convencionais.
O ataque solicita que os usuários insiram a senha do sistema, alegando que é necessária para verificação, o que concede ao malware privilégios elevados para acessar áreas confidenciais do sistema.
Uma vez executado, o Odyssey Stealer AppleScript realiza uma extensa coleta de dados em várias plataformas e aplicativos:
- Carteiras de criptomoedas: Segmenta extensões de carteira populares, incluindo Electrum, Exodus, Litecoin e Wasabi em navegadores baseados em Chromium (Chrome, Brave, Edge, Opera).
- Dados do navegador: Coleta cookies, credenciais de login salvas, dados de preenchimento automático e histórico de formulários de navegadores baseados em Firefox e Chromium.
- Arquivos pessoais: Coleta documentos das pastas Área de Trabalho e Documentos com extensões, incluindo arquivos .txt, .pdf, .docx e .key.
- Credenciais do sistema: Extrai cookies do Safari, Apple Notes e arquivos das Chaves do macOS contendo senhas armazenadas e notas seguras.
- Armazenamento de carteira: Pesquisa sistematicamente o armazenamento local e diretórios indexadosDB para recursos abrangentes de roubo de criptomoedas.
O direcionamento de criptoativos pelo malware é particularmente preocupante, pois enumera especificamente os perfis do usuário e extrai as configurações de extensão de várias plataformas de navegador para garantir que nenhuma informação relacionada à criptomoeda escape da coleta.
Técnicas avançadas de evasão e exfiltração de dados
O malware demonstra recursos sofisticados de evasão por meio de várias camadas de ofuscação usando strings geradas aleatoriamente que complicam os esforços de análise.
Depois de coletar dados confidenciais, ele empacota tudo em um Arquivo ZIP armazenado em “/tmp/out.zip” e o carrega no servidor de comando e controle em “45.146.130[.]131/log” usando comandos curl.
O endereço IP hospeda um “painel de controle do ladrão Odyssey”, onde os invasores podem acessar os dados coletados de sistemas comprometidos.
Após a exfiltração de dados bem-sucedida, o malware realiza uma limpeza completa removendo diretórios temporários e o arquivo ZIP, eliminando rastros forenses que podem ajudar na investigação.
Essa abordagem torna a análise pós-incidente significativamente mais desafiadora para profissionais de segurança e administradores de sistema.
A Forcepoint implementou medidas de proteção em vários estágios, bloqueando URLs maliciosas, identificando os arquivos AppleScript e categorizando servidores de comando e controle sob restrições de segurança.
Indicadores de Comprometimento (IOCs)
| Indicador | Tipo |
|---|---|
| hxxps://tradingviewen[.]com | URL inicial |
| 43917e7dab6e09087de24f7878b9c1c1a7ec1968 | AppleScript (.scpt) |
| hxxps://45.146.130[.]131/login | URL |
| hxxps://45.146.130[.]131/outrosativos/plist/ | URL |
| hxxps://45.146.130[.]131/d/vipx14350/ | URL |
| hxxps://45.146.130[.]131/d/dayderry13027/ | URL |
| hxxps://45.146.130[.]131/api/v1/bot/actions/ | URL |
| hxxps://45.146.130[.]131/api/v1/bot/repetir/ | URL |
| hxxps://45.146.130[.]131/outros ativos/ | URL |
| hxxps://45.146.130[.]131/api/v1/bot/joinsystem | URL |
| hxxps://45.146.130[.]131/d/leopold51865/ | URL |
| hxxps://45.146.130[.]131/outrosativos/meias/ | URL |
| hxxps://45.146.130[.]131/outrosativos/ledger.zip | URL |
| hxxps://45.146.130[.]131/registro | URL |
| hxxps://45.146.130[.]131/d/leopold66209 | URL |
| 45.146.130[.]131 | C2 |
Ache esta notícia interessante! Siga-nos noGoogle Notícias,LinkedIn, &Xpara obter atualizações instantâneas!