«Непробиваемая macOS? Не смешите» — как новая схема ломает миф о безопасности Apple

macOS Odyssey Stealer X-Labs AppleScript ClickFix Forcepoint CAPTCHA криптокошельки
«Непробиваемая macOS? Не смешите» — как новая схема ломает миф о безопасности Apple
macOS Odyssey Stealer X-Labs AppleScript ClickFix Forcepoint CAPTCHA криптокошельки

Эмоции победили логику, а фейковая CAPTCHA — операционную систему.

image

Исследователи Forcepoint X-Labs зафиксировали новую кампанию вредоносного ПО, нацеленного на пользователей macOS. Атака использует усовершенствованную технику ClickFix , сочетающую фишинг и элементы социальной инженерии, для кражи данных криптовалютных кошельков, учётных записей браузеров и конфиденциальных файлов.

Выявленный в августе 2025 года вредонос Odyssey Stealer стал развитием прежних ClickFix-атак, ранее нацеленных на Windows, и теперь применяется против устройств Apple через поддельные страницы проверки CAPTCHA.

Запускаясь с сайта «tradingviewen[.]com», схема имитирует проверку «Я не робот», но предварительно определяет операционную систему пользователя, чтобы выдать индивидуальные инструкции. Владельцам macOS предлагается вызвать поиск Spotlight, открыть Terminal, а затем вставить подготовленную команду. Этот код расшифровывает закодированную в Base64 строку, а затем загружает и выполняет с удалённого сервера AppleScript с сильной обфускацией. При этом создаётся впечатление законной процедуры — ввод «кода проверки» и системного пароля, что фактически даёт вредоносу привилегированный доступ.

Выполнившись, AppleScript осуществляет масштабное извлечение данных: собирает содержимое криптокошельков Electrum, Exodus, Litecoin и Wasabi в браузерах на базе Chromium, выгружает куки, логины, автозаполнение и историю форм, копирует документы с расширениями .txt, .pdf, .docx и .key с рабочего стола и из папки документов, а также экспортирует куки Safari, заметки Apple и файлы Keychain. Для кражи криптоактивов он дополнительно сканирует локальное хранилище и IndexedDB в поисках расширений и профилей.

Для усложнения анализа внедрены многоуровневая обфускация и случайная генерация строк. Все собранные данные упаковываются в архив /tmp/out.zip и передаются на управляющий сервер 45.146.130[.]131/log через curl. На этом же хосте работает панель управления Odyssey Stealer, где злоумышленники получают доступ к выгрузкам. После отправки информации вредонос удаляет временные каталоги и сам архив, чтобы минимизировать следы на устройстве и затруднить расследование.

Одиссей Stealer демонстрирует, что даже привычные элементы веб-интерфейсов могут превратиться в инструмент точечной атаки, если их умело использовать для манипуляции пользователем, а «непробиваемая защита» macOS без внимания к человеческому фактору всё ещё остаётся уязвимой.