Odyssey Stealer 瞄准 macOS 用户:伪装 App Store 窃密木马来袭,专盯加密资产

阅读量20058

发布时间 : 2025-07-02 14:52:48

x
译文声明

本文是翻译文章,文章原作者 Ddos,文章来源:securityonline

原文地址:https://securityonline.info/odyssey-stealer-macos-under-attack-by-clickfix-driven-infostealer/

译文仅供参考,具体内容表达以及含义原文为准。

一个新的恶意软件家族正在悄然入侵 macOS 生态——Odyssey Stealer(奥德赛窃密者)。该恶意程序通过精心设计的社会工程手段,专门针对西方国家的加密货币用户展开攻击。在最新的威胁情报报告中,安全研究机构 CYFIRMA 揭示了该木马如何利用伪造的 App Store 弹窗和“域名投毒”(typosquatting)技术渗透用户系统,并窃取高敏感度数据。

根据 CYFIRMA 的报告显示:“CYFIRMA 研究团队发现了多个网站利用 ClickFix 技术投放恶意 AppleScript(osascript)脚本,这些脚本被用于窃取浏览器 Cookie、密码、加密货币钱包数据和插件信息。”

这些恶意站点伪装成苹果应用商店或金融服务平台,引导用户复制并粘贴伪造 CAPTCHA 验证页面上的终端命令,从而在毫无察觉的情况下自行部署恶意代码。

所谓的 ClickFix 技术 本质上是一种社工攻击手段,其攻击流程如下:

  1. 受害者访问拼写错误或仿冒域名的网站;

  2. 页面展示一个伪造的 Cloudflare CAPTCHA 验证;

  3. macOS 用户被引导在终端中粘贴一段 Base64 编码的 AppleScript;

  4. 脚本会从远程 C2(命令与控制)服务器拉取恶意载荷。

“脚本执行后,恶意软件会弹出一个伪造提示框诱导用户输入密码……随后拷贝 macOS 的钥匙串(Keychain)文件到临时目录 /tmp/lovemrtrump。”

该恶意软件能从多个加密钱包程序中提取信息,包括 Electrum、Coinomi、Exodus 等,也能攻击如 MetaMask 的浏览器插件,跨越 Chrome、Firefox、Safari、Chromium 系列浏览器收集私钥与会话令牌。

Odyssey Stealer 是一个全功能信息窃取器,具备以下能力:

  • 获取 macOS 钥匙串中的凭据及用户手动输入的密码;

  • 窃取加密货币钱包文件与助记词;

  • 获取浏览器中保存的登录信息、支付数据和 Cookie 用于会话劫持;

  • 窃取本地文档和图片,目标扩展名包括 .txt.pdf.docx.jpg.kdbx 等。

所有被窃数据会被打包为 out.zip,通过 curl POST 请求发送至攻击者控制的服务器,如遇连接失败则最多重试 10 次,整个过程在后台静默进行。

在幕后,攻击者通过基于网页的 C2 管理平台操作:“该平台为攻击者提供了一个结构化的界面,可用于管理被窃数据、配置木马行为并部署新攻击。”

功能包括数据仪表盘、木马构建器、受害主机列表以及“Google Cookie 恢复”功能——这一机制可劫持基于浏览器 Cookie 的活跃会话。多数控制面板部署在俄罗斯服务器上。

据悉,Odyssey Stealer 是 AMOS Stealer 的变种,继承了大量代码。据 CYFIRMA 表示:“Odyssey Stealer 是针对 macOS 的最新木马演进产物,本质上是 Poseidon Stealer 的重命名版本,而后者本身就是 AMOS Stealer 的一个分支。”

暗网论坛的情报显示,AMOS 的原始作者“Rodrigo”仍深度参与 Odyssey 的开发,意图将其打造为 macOS 恶意软件即服务(MaaS)市场中的竞争对手。

Odyssey Stealer 的出现,标志着macOS 恶意软件的专业化转型。其仿真网站、实时凭证捕获和高度组织化的攻击基础设施,表明 macOS 已不再是边缘平台,而成为网络犯罪工具的新主战场。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66