一个新的恶意软件家族正在悄然入侵 macOS 生态——Odyssey Stealer(奥德赛窃密者)。该恶意程序通过精心设计的社会工程手段,专门针对西方国家的加密货币用户展开攻击。在最新的威胁情报报告中,安全研究机构 CYFIRMA 揭示了该木马如何利用伪造的 App Store 弹窗和“域名投毒”(typosquatting)技术渗透用户系统,并窃取高敏感度数据。
根据 CYFIRMA 的报告显示:“CYFIRMA 研究团队发现了多个网站利用 ClickFix 技术投放恶意 AppleScript(osascript)脚本,这些脚本被用于窃取浏览器 Cookie、密码、加密货币钱包数据和插件信息。”
这些恶意站点伪装成苹果应用商店或金融服务平台,引导用户复制并粘贴伪造 CAPTCHA 验证页面上的终端命令,从而在毫无察觉的情况下自行部署恶意代码。
所谓的 ClickFix 技术 本质上是一种社工攻击手段,其攻击流程如下:
-
受害者访问拼写错误或仿冒域名的网站;
-
页面展示一个伪造的 Cloudflare CAPTCHA 验证;
-
macOS 用户被引导在终端中粘贴一段 Base64 编码的 AppleScript;
-
脚本会从远程 C2(命令与控制)服务器拉取恶意载荷。
“脚本执行后,恶意软件会弹出一个伪造提示框诱导用户输入密码……随后拷贝 macOS 的钥匙串(Keychain)文件到临时目录 /tmp/lovemrtrump。”
该恶意软件能从多个加密钱包程序中提取信息,包括 Electrum、Coinomi、Exodus 等,也能攻击如 MetaMask 的浏览器插件,跨越 Chrome、Firefox、Safari、Chromium 系列浏览器收集私钥与会话令牌。
Odyssey Stealer 是一个全功能信息窃取器,具备以下能力:
-
获取 macOS 钥匙串中的凭据及用户手动输入的密码;
-
窃取加密货币钱包文件与助记词;
-
获取浏览器中保存的登录信息、支付数据和 Cookie 用于会话劫持;
-
窃取本地文档和图片,目标扩展名包括
.txt、.pdf、.docx、.jpg、.kdbx等。
所有被窃数据会被打包为 out.zip,通过 curl POST 请求发送至攻击者控制的服务器,如遇连接失败则最多重试 10 次,整个过程在后台静默进行。
在幕后,攻击者通过基于网页的 C2 管理平台操作:“该平台为攻击者提供了一个结构化的界面,可用于管理被窃数据、配置木马行为并部署新攻击。”
功能包括数据仪表盘、木马构建器、受害主机列表以及“Google Cookie 恢复”功能——这一机制可劫持基于浏览器 Cookie 的活跃会话。多数控制面板部署在俄罗斯服务器上。
据悉,Odyssey Stealer 是 AMOS Stealer 的变种,继承了大量代码。据 CYFIRMA 表示:“Odyssey Stealer 是针对 macOS 的最新木马演进产物,本质上是 Poseidon Stealer 的重命名版本,而后者本身就是 AMOS Stealer 的一个分支。”
暗网论坛的情报显示,AMOS 的原始作者“Rodrigo”仍深度参与 Odyssey 的开发,意图将其打造为 macOS 恶意软件即服务(MaaS)市场中的竞争对手。
Odyssey Stealer 的出现,标志着macOS 恶意软件的专业化转型。其仿真网站、实时凭证捕获和高度组织化的攻击基础设施,表明 macOS 已不再是边缘平台,而成为网络犯罪工具的新主战场。
发表评论
您还未登录,请先登录。
登录