“أوديسي ستيلر” يصيب أكثر من 100 دولة ويستهدف 16 تطبيق محفظة عملات رقمية على نظام ماك

أعلن باحثو الأمن السيبراني في مختبر Moonlock Lab عن موجة جديدة من برمجية “Odyssey Stealer” الخبيثة التي تستهدف مستخدمي أجهزة macOS في أكثر من 100 دولة. هذه النسخة المتطوّرة مصممة لسرقة كلمات المرور وبيانات المتصفحات ومحافظ العملات الرقمية وبيانات الخدمات السحابية وملفات المطورين، مع الحفاظ على وصول طويل الأمد إلى الأجهزة المصابة.
أوضح الباحثون أن هذه البرمجية الخبيثة تطورت لتتجاوز مجرد سرقة بيانات الدخول. فبمجرد تثبيتها، يمكنها استبدال تطبيقات محافظ العملات الرقمية الأصلية بنسخ معدلة تهدف إلى التقاط بيانات المحافظ ومعلومات المعاملات.
يستهدف هذا الهجوم بشكل أساسي المستخدمين المهتمين بالعملات الرقمية والمالية، وذلك من خلال مواقع ويب مزيفة تقلد المنصات الموثوقة وصفحات تنزيل البرامج.
تستهدف المحافظ والمتصفحات وبيانات المطورين
تسرق البرمجية بيانات الدخول وملفات تعريف الارتباط (cookies) وبيانات الملء التلقائي من المتصفحات الرئيسية مثل Chrome وBrave وMicrosoft Edge وVivaldi وOpera وArc وFirefox وWaterfox.
بالنسبة لمستخدمي العملات الرقمية، تبحث “Odyssey” عن ملفات المحافظ من أكثر من 16 تطبيق محفظة سطح مكتب، بما في ذلك Electrum وExodus وLedger Live وTrezor Suite وBitcoin Core وLitecoin Core وDash Core وMonero. كما تفحص ما يقرب من 300 إضافة متصفح للعملات الرقمية للبحث عن بيانات المحافظ والمفاتيح الخاصة.
إلى جانب الأصول الرقمية، تجمع البرمجية مفاتيح SSH وقواعد بيانات Apple Keychain وبيانات Telegram وDiscord وبيانات FileZilla وسجل الأوامر الطرفية (terminal history) وملفات الإعدادات لخدمات AWS وGoogle Cloud وMicrosoft Azure وDocker. كما تحاول الحصول على كلمة مرور macOS المحلية باستخدام أداة المصادقة المدمجة dscl.
وفقًا لتحليل البرمجية الخبيثة الذي شاركه مختبر Moonlock Lab، تتواصل الأجهزة المصابة مع خادم التحكم والقيادة (C2) الرئيسي على العنوان 165[.]245.215.18، مع استخدام rahtam[.]com كخادم احتياطي وscubin[.]com لتوصيل الحمولات الثانوية بما في ذلك تطبيقات المحافظ المزيفة.
التطبيقات المزيفة وتقنية ClickFix تقود العدوى
يقول باحثو الأمن إن “Odyssey” تُنقل غالبًا عبر أسلوب الهجوم ClickFix. يتم توجيه الضحايا إلى مواقع ويب مزيفة تشبه إلى حد كبير متجر Apple App Store أو منصات أخبار العملات الرقمية أو الخدمات المالية.
تعرض هذه الصفحات شاشة تحقق مزيفة من Cloudflare تطلب من مستخدمي macOS نسخ أمر ولصقه في “الطرفية” (Terminal). بدلاً من إتمام التحقق، يقوم الأمر بتحميل وتنفيذ سكربت AppleScript يقوم بتثبيت البرمجية الخبيثة.
يقوم السكربت بإنشاء خدمات LaunchDaemon دائمة، مما يسمح لـ “Odyssey” بالبقاء بعد إعادة تشغيل النظام والتواصل باستمرار مع الخوادم التي يسيطر عليها المهاجمون.
تعرض البرمجية أيضًا نافذة طلب كلمة مرور مزيفة لالتقاط كلمة مرور macOS الخاصة بالمستخدم. وبمجرد التحقق منها، تقوم بنسخ ملفات Keychain وقواعد بيانات المتصفحات وملفات المحافظ والمستندات الشخصية، ثم تضغط كل شيء في ملف ZIP وترفعه إلى خادم الأوامر.
إذا فشل الرفع، فإنها تعيد المحاولة تلقائيًا عدة مرات لضمان تسليم البيانات المسروقة. كما وجد الباحثون أن البرمجية تسرق الملفات من مجلدات سطح المكتب والمستندات، بما في ذلك ملفات TXT وPDF وDOCX وJPG وPNG وRTF وقاعدة بيانات KeePass (.kdbx).
عمليات البرمجية الخبيثة كخدمة (MaaS)
تصف شركتا الأمن SOC Prime وCYFIRMA برمجية “Odyssey” كمنصة “برمجية خبيثة كخدمة” (MaaS). يمكن للشركاء استئجار الوصول إلى لوحة تحكم مركزية تتتبع الأجهزة المصابة وتدير بيانات الدخول المسروقة وتبني نسخًا مخصصة من البرمجية الخبيثة وتستعيد جلسات المتصفح المخترقة باستخدام ملفات تعريف الارتباط المسروقة.
ربط المحققون لوحات تحكم متعددة لـ “Odyssey” ببنية تحتية مستضافة بشكل رئيسي في روسيا. يعتقد باحثو التهديدات أن “Odyssey” هي نسخة معاد تسميتها من برمجية “Poseidon Stealer”، التي نشأت بدورها من عائلة برمجيات “AMOS Stealer” الخبيثة.
يستهدف التشغيل بشكل أساسي المستخدمين في الولايات المتحدة وأوروبا، بينما يتجنب إلى حد كبير الضحايا في دول الكومنولث المستقل (CIS)، وهو نمط غالبًا ما يرتبط بجماعات الجرائم الإلكترونية الناطقة بالروسية.
الأسئلة الشائعة (FAQ)
س: كيف تحمي نفسي من برمجية Odyssey الخبيثة؟
ج: تجنب فتح الروابط غير المعروفة أو تنزيل البرامج من مصادر غير موثوقة. لا تقم أبدًا بلصق أوامر في “الطرفية” (Terminal) من مواقع الويب. استخدم برامج مكافحة فيروسات محدثة على جهاز macOS، وحافظ على تحديث نظام التشغيل والتطبيقات دائمًا. احذر من صفحات التحقق المزيفة.
س: ما هي أنواع البيانات التي تسرقها برمجية Odyssey؟
ج: تسرق البرمجية كلمات المرور وبيانات المتصفح (بما في ذلك ملفات تعريف الارتباط)، ومحافظ العملات الرقمية من أكثر من 16 تطبيق محفظة و300 إضافة متصفح، بالإضافة إلى مفاتيح SSH وبيانات التخزين السحابي (AWS, Google Cloud) وملفات المطورين والمستندات الشخصية مثل PDF وDOCX.
س: هل تستهدف برمجية Odyssey مستخدمين معينين؟
ج: نعم، تستهدف بشكل أساسي المستخدمين المهتمين بالعملات الرقمية والخدمات المالية. كما تتجنب إصابة المستخدمين في دول الكومنولث المستقل (مثل روسيا)، مما يشير إلى أنها من تطوير جماعات ناطقة بالروسية تركز على ضحايا في الولايات المتحدة وأوروبا.












