骇客假借网页故障或是进行图灵验证等理由做为幌子,要求使用者依照指示按下特定按钮,并开启执行视窗贴上恶意指令的,就是这样的例子,骇客利用多个ClickFix攻击策略,意图对使用者传递恶意的AppleScript指令码(osascripts),下达命令窃取Mac电脑浏览器的cookie、密码、加密货币钱包资料,以及浏览器外挂的内容。骇客主要借由注册与金融业者、苹果App Store、加密货币新闻网站拼字相似的网域,疑似锁定对金融与加密货币感兴趣的人士下手 。
针对整个攻击活动的流程,揭露此事的资安业者Cyfirma指出当使用者存取骇客的恶意网域时,会看到模仿Cloudflare的图灵验证机制,声称他们侦测到不寻常的网页流量,必须检核连线的安全性才能进行后续处理。
骇客要求使用者依照指示按下Command+Space快速键,开启Spotlight的功能,然后输入Terminal并按下Return,最后按下网页上的复制按钮,将特定内容贴上终端机。但实际上用户复制的并非网站上的I am not a robot字串,而是骇客经过Base64演算法处理的指令码,从而在受害电脑下载窃资软体。
一旦此恶意软体执行,就会出现假的对话框要求用户输入密码并进行截取,并窃取macOS密码管理系统「钥匙圈存取(Keychain」的组态档案,挖掘该系统存放的帐密资料。附带一提的是,攻击者还滥用作业系统的dscl命令,目的是让相关处理程序对使用者维护隐藏的状态。
虽然骇客的钓鱼网站针对macOS用户而来,尽管透过Windows电脑存取也会显示对应的操作步骤,但研究人员实际点选复制按钮,却发现并未复制任何程式码的现象。对此,研究人员认为,未来骇客很有可能更新网站,将攻击范围延伸到Windows用户。
针对Odyssey Stealer的来历,研究人员指出是另一款窃资软体Poseidon Stealer更名的版本,而该恶意软体是恶名昭彰的AMOS Stealer(或称为Atomic Stealer)的分支版本。原本维护AMOS Stealer的开发者将AMOS Stealer出售,后续又打造了Poseidon Stealer、Odyssey Stealer,并以租赁(Malware-as-a-Service)的模式供买家运用。