#ParsedReport #CompletenessLow
10-02-2026

Active Ivanti Exploitation Traced to Single Bulletproof IPPublished IOC Lists Point Elsewhere

https://www.greynoise.io/blog/active-ivanti-exploitation

Report completeness: Low

Threats:
Gootkit
Spynote_rat

Victims:
Ivanti endpoint manager mobile users

Industry:
Government

Geo:
Hong kong, Netherlands, Dutch, Sweden, Russia, England

CVEs:
CVE-2026-1281 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (le12.5.0.0, 12.5.1.0, 12.6.0.0, 12.6.1.0, 12.7.0.0)

CVE-2026-21962 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle http_server (12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0)
- oracle weblogic_server_proxy_plug-in (12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0)

CVE-2026-1340 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-24799 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- glpi-project glpi (<10.0.18)

CVE-2026-24061 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gnu inetutils (le2.7)


ChatGPT TTPs:
do not use without manual check
T1059.004, T1071.004, T1190, T1505.003, T1583.003, T1583.006, T1587.003, T1595.001, T1595.002, T1608.004, have more...

IOCs:
File: 1
IP: 5

Soft:
Ivanti, Slack, WebLogic, Ivanti EPMM, Chrome, Firefox

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Использование критических уязвимостей CVE-2026-1281 и CVE-2026-1340 в Ivanti Endpoint Manager Mobile связано с одним IP-адресом (193.24.123.42), связанным с пуленепробиваемым хостингом в России, на долю которого приходится 83% сеансов использования. Методология атаки в основном использует внеполосное тестирование безопасности приложений (OAST) для скрытой проверки выполнения команд, что указывает на то, что основное внимание уделяется каталогизации целей для будущего использования, а не немедленным действиям. Кроме того, бездействующие полезные нагрузки, идентифицированные как "спящие оболочки 403.jsp", развертываются после эксплуатации с целью обеспечения долгосрочного доступа к системам компрометация.
-----

Использование критических уязвимостей CVE-2026-1281 и CVE-2026-1340 в Ivanti Endpoint Manager Mobile (EPMM) отслеживается по одному IP-адресу 193.24.123.42. Этот IP-адрес используется примерно в 83% всех сеансов эксплуатации. Обе уязвимости имеют оценку CVSS 9,8; CVE-2026-1281 допускает неавторизованное Удаленное Выполнение Кода, в то время как CVE-2026-1340 предполагает внедрение кода. В начале февраля было проведено 417 сеансов эксплуатации с восьми уникальных исходных IP-адресов, в основном с вышеупомянутого IP-адреса.

В 85% попыток эксплуатации использовались методы внеполосного тестирования безопасности приложений (OAST), предполагающие каталогизацию целей для последующего использования, что свидетельствует о тактике брокера первоначальный доступ. Было отмечено увеличение числа сеансов - только 8 февраля их было 269. Использование привело к развертыванию бездействующих полезных нагрузок, известных как “спящие оболочки 403.jsp” для будущего несанкционированного доступа, что указывает на стратегию поддержания долгосрочного доступа.

Широко распространенные IOCS, связанные с кампанией, указывают на различные уязвимости и источники, включая IP-адреса, привязанные к VPN-сервисам, и маршрутизатор компрометация, которые не показали доказательств эксплуатации Ivanti. Эта ситуация подчеркивает риски, связанные исключительно с использованием опубликованных IOC для обнаружения угроз, поскольку они могут упускать из виду критические пути использования. Использование пуленепробиваемой инфраструктуры хостинга является ключом к наблюдаемой концентрированной вредоносной активности. Предлагается внедрить фреймворк для оценки достоверности для IOCs, чтобы улучшить обнаружение сложных угроз.

#ParsedReport #CompletenessLow
12-02-2026

AiFrame- Fake AI Assistant Extensions Targeting 260,000 Chrome Users via injected iframes

https://layerxsecurity.com/blog/aiframe-fake-ai-assistant-extensions-targeting-260000-chrome-users-via-injected-iframes/

Report completeness: Low

Threats:
Aitm_technique

Victims:
Browser users

TTPs:
Tactics: 9
Technics: 5

IOCs:
Domain: 3
Coin: 2
Email: 28

Soft:
Chrome, ChatGPT, Claude, Gmail, DeepSeek

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания AiFrame нацелена примерно на 260 000 пользователей Google Chrome с помощью вредоносных расширений для браузера, замаскированных под помощников с искусственным интеллектом. Эти расширения используют полноэкранный iframe для имитации законных интерфейсов, собирая данные телеметрии при взаимодействии с тематическими поддоменами на tapnetic.pro домен. В атаке используются такие методы, как Теневая (drive-by) компрометация, Маскировка и тактика adversary-in-the-middle для получение учетных данных, что указывает на значительную угрозу безопасности браузера за счет использования доверия пользователей к инструментам искусственного интеллекта.
-----

Кампания AiFrame использует вредоносные браузерные расширения, Маскировка которых осуществляется под законных помощников с искусственным интеллектом, и нацелена примерно на 260 000 пользователей Google Chrome. Эта кампания подчеркивает растущую тенденцию, когда киберпреступники используют популярность инструментов генеративного искусственного интеллекта, таких как ChatGPT и Claude, для обмана пользователей и получения доступа к их информации.

Вредоносные расширения создаются таким образом, чтобы казаться независимыми, с разными названиями, фирменным стилем и идентификаторами расширений. Однако они имеют единую внутреннюю структуру и похожи друг на друга логикой JavaScript, разрешениями и серверной инфраструктурой. Основной метод заключается в отображении полноэкранного iframe, который указывает на удаленный домен (claude.tapnetic.pro). Этот iframe накладывается на текущую веб-страницу, создавая интерфейс, который имитирует внешний вид допустимого расширения.

Эти расширения предназначены для сбора телеметрических данных. Каждый вариант взаимодействует с определенным поддоменом tapnetic.pro тематика которого соответствует продукту с искусственным интеллектом, за который он себя выдает, что усиливает обманчивый характер кампании. Более того, злоумышленники используют тактику, позволяющую избежать обнаружения механизмами принудительного использования Chrome Web Store, что позволяет повторно загружать и распространять вредоносные расширения без существенных препятствий.

Тактика, методы и процедуры (TTP), используемые в этой кампании, соответствуют нескольким выявленным методологиям борьбы с угрозами. Этап разработки ресурса включает в себя приобретение инфраструктуры для поддержки вредоносных действий (T1583). Первоначальный доступ достигается с помощью Теневая (drive-by) компрометация (T1189), когда жертвы неосознанно устанавливают расширения, часто через Доверительные отношения (T1199). Выполнение характеризуется выполнением скрипта (T1036) и Маскировка (T1036), что еще больше скрывает злонамеренные намерения расширений.

Злоумышленник нацелен на получение учетных данных (T1557) с помощью методов adversary-in-the-middle, позволяющих ему собирать конфиденциальную пользовательскую информацию. Связь и командное управление устанавливаются с помощью методов, основанных на Веб-служба (T11.005) и выделенных поддоменов, облегчающих эксфильтрация данных (T12.001). Эта кампания знаменует собой критический прорыв в модели безопасности браузера, используя доверие пользователей к законным технологиям искусственного интеллекта, подчеркивая необходимость повышенной бдительности в отношении подобных угроз.

#ParsedReport #CompletenessMedium
12-02-2026

Unpacking the New Matryoshka ClickFix Variant: Typosquatting Campaign Delivers macOS Stealer

https://www.intego.com/mac-security-blog/matryoshka-clickfix-macos-stealer/

Report completeness: Medium

Actors/Campaigns:
Overload

Threats:
Clickfix_technique
Typosquatting_technique
Clipboard_injection_technique

Victims:
Macos users, Cryptocurrency users

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1056.002, T1059.004, T1105, T1204.001, T1204.002, T1583.001, T1584.005

IOCs:
Domain: 3
Url: 2
File: 2

Soft:
macOS, curl, url -s, url -X, Ledger Live, Electron

Wallets:
trezor

Algorithms:
base64, zip, gzip, sha256

Functions:
daemon_function

Languages:
applescript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Matryoshka ClickFix специально нацелена на пользователей macOS с помощью социальной инженерии и typosquatting, что приводит жертв к вредоносным доменам, которые запрашивают вводящие в заблуждение команды в терминале. Атака использует сложную технику обфускации для доставки сценария оболочки, который извлекает и декодирует полезную нагрузку для сбора конфиденциальной информации, особенно с акцентом на криптовалютные кошельки. Примечательно, что он использует сложные методы для манипулирования законными приложениями, повышая свою скрытность и эффективность.
-----

Вариант Matryoshka ClickFix представляет собой эволюцию кампании "ClickFix", которая специально ориентирована на пользователей macOS с помощью сложного подхода социальной инженерии. В этой кампании используется метод, известный как typosquatting, когда пользователи непреднамеренно переходят на вредоносный домен, ошибочно вводя URL-адреса законных сайтов проверки программного обеспечения, таких как "comparisions.org ." Попав на сайт, жертва перенаправляется через Система распределения трафика (TDS) и получает инструкции по выполнению вводящей в заблуждение команды в терминале macOS.

Техническая архитектура этой кампании демонстрирует технику вложенного запутывания, напоминающую русскую матрешку, отсюда и название "Matryoshka". В отличие от более ранних версий ClickFix, в которых использовались более понятные скрипты, в этом варианте используется сложная оболочка, которая скрывает его операционную логику как от сетевых сканеров, так и от статического анализа. Первоначальная команда, выполняемая жертвой, напрямую не загружает типичное приложение macOS; вместо этого она извлекает безобидный на вид сценарий оболочки, содержащий значительную закодированную полезную нагрузку.

Полезная нагрузка работает в два основных этапа. На этапе 0 введенная команда облегчает доступ к буферу обмена, позволяя извлекать закодированную, сжатую полезную нагрузку. На этапе 1 эта полезная нагрузка декодируется и распаковывается в памяти, что делает ее исполняемой только во время выполнения, что добавляет уровень сложности тактике уклонения вредоносное ПО.

После выполнения полезная нагрузка, в основном созданная в AppleScript, предназначена для сбора конфиденциальной информации. По своей сути, он пытается получить учетные данные с помощью автоматизированного процесса, который завершается неудачей, приводящей к циклу фишинг. Этот цикл имитирует диалоговое окно "Системные настройки" macOS, настойчиво запрашивающее у жертвы пароль. Примечательно, что вредоносное ПО явно нацелено на приложения для криптовалютных кошельков, используя две различные стратегии: для Trezor Suite оно принудительно закрывает процесс, удаляет приложение и устанавливает вредоносную замену; для Ledger Live оно использует более скрытный подход, который включает замену компонентов подлинного приложения и их повторную подпись, таким образом обходя защиту. проверка целостности.

Таким образом, кампания Matryoshka ClickFix иллюстрирует усовершенствованный метод обмана пользователей без использования традиционных эксплойтов, фокусируясь на убеждении жертв выполнить первоначальную команду. Вложенный механизм доставки и нацелен на полезную нагрузку AppleScript делают эту угрозу особенно опасной для нацелен на важные объекты, такие как учетные данные браузера и криптовалютные кошельки. Следует принять меры безопасности, чтобы проинформировать пользователей о рисках, связанных с typosquatting и несанкционированным выполнением команд в их системах.

#ParsedReport #CompletenessHigh
11-02-2026

Lotus Blossom (G0030) and the Notepad++ Supply-Chain Espionage Campaign

http://dti.domaintools.com/research/lotus-blossom-and-the-notepad-supply-chain-espionage-campaign

Report completeness: High

Actors/Campaigns:
Dragonfish (motivation: financially_motivated, cyber_espionage)
Stone_panda
Winnti

Threats:
Supply_chain_technique
Chrysalis
Sagerunex
Elise
Spear-phishing_technique
Dll_sideloading_technique
Cobalt_strike_tool
Lolbin_technique
Dllsearchorder_hijacking_technique

Victims:
Government, Financial institutions, Information technology service providers, Developers, System administrators

Industry:
Retail, Maritime, Military, Telco, Government

Geo:
China, Philippines, Asian, Australia, Taiwan, Hong kong, America, Indonesia, Vietnam, Asia, Chinese, El salvador, Oceania

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 3
IP: 3
File: 4
Url: 9
Hash: 6
Path: 3

Soft:
Outlook, Dropbox, Twitter, WireGuard, NSIS installer, Windows service

Algorithms:
exhibit

#ParsedReport #ExtractedSchema

Classified images:
schema: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Шпионская кампания Notepad++ supply-chain spionage, атрибутирован с китайской группой Lotus Blossom (G0030), использовала инфраструктуру распространения обновлений сторонних производителей вместо компрометации кода программного обеспечения, что позволило манипулировать пользовательскими обновлениями. Операция была нацелен на разработчиков и системных администраторов в Юго-Восточной Азии, которые внедрили пользовательский бэкдор под названием Chrysalis для предоставления дополнительной полезной нагрузки при сборе политически чувствительной информации. Это высвечивает уязвимости в экосистемах программного обеспечения, подчеркивая важность мониторинга шаблонов обновлений для защиты от подобных атак в будущем.
-----

Lotus Blossom (G0030) провела шпионскую кампанию supply-chain, нацелен на Notepad++, используя механизм обновления программного обеспечения с конца 2025 по начало 2026 года. Злоумышленники манипулировали сторонней инфраструктурой для получения обновлений, не изменяя код программного обеспечения. Кампания была нацелена на высокоценные технические должности, особенно на разработчиков и системных администраторов. Группа использовала несанкционированный доступ к хостингу обновлений для развертывания нескольких цепочек заражения с различными полезными нагрузками. Пользовательский бэкдор под названием Chrysalis был развернут для доставки дополнительной полезной нагрузки и поддержания скрытности. Теракт был нацелен на конкретных жертв в Юго-Восточной Азии, в частности во Вьетнаме и на Филиппинах, что соответствовало геополитическим интересам Китая. Шпионаж был сосредоточен на сборе разведданных в политической, экономической и военной областях, не занимаясь Кража денежных средств. Операция выявила уязвимости в системе доверия к экосистеме программного обеспечения, особенно в отношении сред разработчиков и администраторов. Бдительность при отслеживании шаблонов обновлений и поведения сети необходима для защиты от подобных атак в будущем.

#ParsedReport #CompletenessLow
09-02-2026

Sleeper Shells: How Attackers Are Planting Dormant Backdoors in Ivanti EPMM

https://defusedcyber.com/ivanti-epmm-sleeper-shells-403jsp

Report completeness: Low

Victims:
Governments, Major institutions, Ivanti epmm users

Industry:
Government

Geo:
America, Netherlands, Usa

CVEs:
CVE-2026-1340 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-1281 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (le12.5.0.0, 12.5.1.0, 12.6.0.0, 12.6.1.0, 12.7.0.0)


ChatGPT TTPs:
do not use without manual check
T1027, T1082, T1083, T1105, T1190, T1505.003, T1620

IOCs:
File: 2
Hash: 1
IP: 17

Soft:
Ivanti EPMM, Ivanti, appstore, Unix

Algorithms:
base64, sha256

Functions:
toString

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние уязвимости в Ivanti Endpoint Manager Mobile (EPMM), идентифицированные как CVE-2026-1281 и CVE-2026-1340, позволяют обходить аутентификацию и Удаленное Выполнение Кода, что приводит к успешным атакам на организации, включая государственные учреждения. Злоумышленники развертывают Java-класс с именем base.Info в качестве загрузчика этапа, который вызывает внешние классы на основе определенных параметров, собирая сведения об окружающей среде с хоста. Использование подчеркивает риск необнаруженных вторжений, требуя внимания к признакам компрометация, которые могут не включать традиционные подписи на основе файлов.
-----

Эксплуатация Ivanti Endpoint Manager Mobile (EPMM) продолжается, и недавно были обнаружены критические уязвимости CVE-2026-1281 и CVE-2026-1340, облегчающие обход аутентификации и Удаленное Выполнение Кода. Эти уязвимости обеспечивают неавторизованный доступ к конечным точкам прикладного уровня, что приводит к успешной компрометация различных крупных организаций, включая государственные структуры. После объявления об уязвимостях быстро началась эксплуатационная деятельность в дикой природе.

Злоумышленники развертывали полезную нагрузку, характеризуемую Java-классом с именем base.Info, который служит в качестве загрузчика этапа, а не традиционной веб-оболочки. Этому загрузчику не хватает интерактивных возможностей, вместо этого он фокусируется на получении и выполнении вторичного Java-класса, размещенного извне. При вызове загрузчик проверяет наличие HTTP-параметра с меткой k0f53cf964d387. Если этот параметр присутствует, он декодирует предоставленное значение и загружает его как класс в память с помощью отражающих вызовов без записи каких-либо файлов на диск. Загрузчик также собирает сведения об окружающей среде из хост-системы, такие как пути к каталогам, сведения об операционной системе и пользовательскую информацию, впоследствии передавая их классу второго этапа для потенциальной ориентации злоумышленником.

Показатели компрометация, связанные с этой деятельностью, имеют решающее значение для оценки безопасности систем, использующих Ivanti EPMM. Доказательства такой эксплуатации должны вызвать ответные действия, поскольку само присутствие этого загрузчика указывает на потенциальную компрометация или попытку ее совершения, даже при отсутствии последующих действий. Проверка журнала может выявить большие параметры Base64, начинающиеся со строки, указывающей байт-код Java, в частности "yv66vg", которая указывает на компонент загрузчика классов.

Были идентифицированы сетевые индикаторы компрометация (IOCs), относящиеся к известным вредоносным IP-адресам, что указывает на целый ряд источников атак. Примечательно, что традиционные антивирусные решения могут неточно улавливать эти специализированные полезные нагрузки, поскольку они работают только в памяти, не создавая артефактов на диске. Этот случай подчеркивает значительный риск неактивных вторжений, когда злоумышленники потенциально размещают бэкдор, оставаясь незаметными, тем самым подчеркивая, что наиболее опасными угрозами часто являются те, которые остаются неактивными до тех пор, пока не будут активированы. Эта реальность требует бдительного подхода к мониторингу и реагированию на инциденты, который охватывает как признаки явных, так и скрытых атак.

#ParsedReport #CompletenessHigh
11-02-2026

Odyssey Stealer: Inside a macOS Crypto-Stealing Operation

https://censys.com/blog/odyssey-stealer-macos-crypto-stealing-operation

Report completeness: High

Actors/Campaigns:
Rodrigo4
Ping3r

Threats:
Odyssey_stealer
Amos_stealer
Yamux_tool
Clickfix_technique
Poseidon_stealer

Victims:
Cryptocurrency users, Macos users

Geo:
Germany, Holland, Singapore, Moscow, Lithuania, Russian, Russia, Netherlands, Austria

TTPs:
Tactics: 5
Technics: 0

IOCs:
IP: 12
Domain: 3
File: 7
Url: 2
Hash: 13

Soft:
macOS, Ledger Live, Telegram, Chromium, Firefox, Chrome, sudo, curl, Gatekeeper, Vivaldi, have more...

Wallets:
metamask, electrum, trezor, coinbase, tronlink, ronin_wallet, exodus_wallet, bitcoincore, wassabi, ledger_wallet, have more...

Crypto:
monero, binance

Algorithms:
zip, sha256, md5, base64

Functions:
readFileContents, readFileContentsrepeat

Win API:
createDirectory, Arc

Languages:
javascript, applescript

Platforms:
arm, apple

#ParsedReport #ExtractedSchema

Classified images:
chats: 1, schema: 2, windows: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Odyssey Stealer - это вредоносное ПО для macOS, предназначенное для кражи информации и нацеленное на пользователей криптовалют, работающее по модели "Вредоносное ПОкак услуга". Его инфраструктура включает в себя десять идентифицированных серверов C2 по всей Европе и Азии, использующих запутанный AppleScript для первоначального заражения и минимальную Троянская программа удаленного доступа для закрепление. Вредоносное ПО извлекает конфиденциальные данные, включая файлы cookie браузера и учетные данные, используя тактику социальной инженерии, чтобы обманом заставить пользователей раскрыть системные пароли, при этом постоянное выполнение обеспечивается с помощью рандомизированных имен служб.
-----

Odyssey Stealer - это сложное вредоносное ПО для macOS, похищающее информацию, специально разработанное для нацелен на криптовалюты. Работая по модели "Вредоносное ПО как услуга" (MaaS), она позволяет независимым филиалам получать доступ к своей инфраструктуре, проводя вредоносные кампании и делясь доходами с основным контролирующим органом. Это вредоносное ПО было выявлено в ходе расследований нацелен на Вредоносная Кампания macOS, в частности, нацеленная на пользователей криптовалют.

Инфраструктура Odyssey примечательна своей отличительной панелью управления React и согласованными конечными точками API, упрощающими процесс снятия отпечатков пальцев с серверов командования и контроля (C2). Анализ с помощью Censys выявил десять физических хостов, связанных с инфраструктурой Odyssey's C2, с подключением к кластерам ASN в Европе, особенно в Нидерландах и Германии, и одиночные хосты в Сингапуре, Литве и России. Некоторые из этих серверов предоставляются пуленепробиваемыми хостинговыми службами, что предполагает дизайн, обеспечивающий устойчивость к попыткам взлома.

Поток атак Odyssey's состоит из нескольких этапов, начиная с начального дроппера, который использует запутанный AppleScript, завернутый в сценарий оболочки. Этот дроппер не только инициирует атаку, но и устанавливает минимальную Троянская программа для удаленного доступа (RAT), предназначенную для закрепление путем создания LaunchDaemon со случайными именами служб. Каждый экземпляр RAT считывает адрес C2 с диска, повышая его скрытность, поскольку C2 не закодирован жестко, что затрудняет его обнаружение с помощью статического анализа.

Вредоносное ПО в первую очередь нацелено на конфиденциальные данные, извлекая такую информацию, как файлы cookie веб-браузера и учетные данные, особенно с популярных платформ, таких как Firefox и MetaMask. Он использует тактику социальной инженерии, обманом заставляя пользователей предоставлять свои пароли macOS через поддельное системное диалоговое окно, которое позже используется для получения доступа к мастер-паролю Chrome, хранящемуся в системе Связка ключей.

Сохраняясь в зараженной системе, Odyssey использует случайное имя службы, чтобы гарантировать ее запуск при загрузке системы. Вредоносное ПО может выполнять произвольные команды оболочки и загружать свой прокси-сервер socks5 для эксфильтрация. Панель управления Odyssey предоставляет операторам различные функциональные возможности, включая настройки уведомлений и генератор сборок для создания различных полезных нагрузок.

Odyssey не является оригинальным творением; это ребрендинг Poseidon Stealer, который сам по себе является производным от Atomic macOS Stealer (AMOS), демонстрируя таким образом родословную в сообществе киберпреступников. Его разработка связана с пользователем, известным как Rodrigo4, который активен на русскоязычных форумах по киберпреступность.

Защитные стратегии против Odyssey включают мониторинг необычного использования osascript, тщательную проверку LaunchDaemons на наличие странных шаблонов именования и блокирование связанного с ними сетевого трафика. Кроме того, организациям рекомендуется обучать пользователей распознавать подозрительные запросы во время установки приложений и быть осторожными с ними.