OdysseyStealer攻击全球Mac电脑,并将加密钱包应用替换为窃取数据程序

admin 2026-07-12 06:11:34 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: OdysseyStealer是一场针对MacOS的全球信息窃取活动,已蔓延至100多个国家。攻击者通过社会工程和ClickFix技术诱导用户执行恶意脚本,替换合法加密钱包应用以窃取凭证、密钥和加密资产。该恶意软件具备持久化能力,并作为恶意软件即服务平台运营。建议用户严格验证软件来源、警惕要求终端命令的验证码,并检查系统异常LaunchDaemons和钱包替换。 综合评分: 85 文章分类: 恶意软件,社会工程学,威胁情报,数据泄露,漏洞分析


cover_image

Odyssey Stealer 攻击全球 Mac 电脑,并将加密钱包应用替换为窃取数据程序

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年7月10日 19:04 北京

在小说阅读器读本章

去阅读

Odyssey Stealer 正在发起一场大规模的 macOS 信息窃取活动,目前已蔓延至 100 多个国家/地区,攻击者通过用窃取加密货币的木马程序替换合法的钱包应用程序,系统性地劫持加密货币生态系统。

该行动结合了高级社会工程、基于 AppleScript 的隐蔽技术和持久的 LaunchDaemons,将受感染的 Mac 变成长期收集凭证、密钥和加密资产的点。

来自多家安全厂商的遥测数据显示,自 2026 年初以来, Odyssey Stealer 的活动持续增加,在北美、欧洲、亚洲和其他地区都观察到了感染,证实了其真正的全球影响力。

研究人员还注意到,重新命名与早期的波塞冬窃贼活动有关,这表明它是一种持续演变的病毒株,而不是一个独立的毒株。

Odyssey 的传播方式很大程度上依赖于“ClickFix”技术:受害者会被引导至虚假的 CAPTCHA 或验证页面,这些页面会验证操作系统,然后指示用户将 base64 编码的命令复制粘贴到终端中,该命令会在后台静默执行 AppleScript 加载器。

由于该恶意软件是基于脚本的,并且通常通过osascript而不是释放传统的二进制文件来运行,因此它最初可以绕过许多针对经典可执行有效载荷调整的端点防御措施。

一旦执行,Odyssey Stealer 即可跨浏览器和 macOS 原生组件进行广泛的数据采集。

Moonlock 研究人员表示,该活动主要针对 macOS,通过恶意广告和网络钓鱼攻击开发者、管理员、加密货币交易员和高管,冒充 Microsoft Teams、Homebrew、Ledger Live 和其他流行软件等可信工具。

它会系统地从基于 Chromium 的浏览器(Chrome、Brave、Edge、Vivaldi、Opera、Arc)以及 Firefox 系列变体中收集密码、cookie 和自动填充数据,从而实现对在线账户的完全接管和会话劫持。

与此同时,它还会攻击 macOS 钥匙串条目、支付信息以及桌面和文稿文件夹中的文件,包括 *.txt、*.pdf、*.docx 等敏感格式文件以及 KeePass 等密码数据库文件。

Odyssey Stealer 攻击 Mac

该软件以加密货币为中心进行设计,重点关注桌面钱包和浏览器扩展程序。目前的分析表明,它至少支持 16-18 款桌面钱包(包括 Electrum、Exodus、Ledger Live、Trezor Suite、Bitcoin/LTC/Dash Core 和 Monero),以及数百个 web3 钱包和 DeFi 插件的扩展程序 ID。

被盗数据会被暂存到存档中(通常out.zip位于/tmp),然后通过 POST 请求泄露到命令与控制服务器curl,并进行多次静默重试以确保即使在瞬态网络控制下也能交付。

除了凭证和加密之外,Odyssey 还会扫描 SSH 密钥、云和容器配置文件(AWS、GCP、Azure、Docker)、FileZilla FTP 配置文件、Telegram 和 Discord 数据、shell 历史记录以及使用 macOS 目录服务查询的本地账户密码。

这种广泛的收集表面使得受感染的主机对于横向移动、云账户入侵以及附属机构的二次变现都具有价值。

为了实现持久化,Odyssey 会将带有随机com.<random>.plist名称的 LaunchDaemon plist 文件放入/Library/LaunchDaemons/,然后使用launchctl bootstrap system来注册它们;如果注册失败,则回退 nohup 风格的循环会保持窃取程序运行。

这使得恶意软件能够在重启后继续运行,并与其 C2 服务器保持定期连接,以便操作员可以发出新命令或推送更新的配置。

其中最危险的行为之一是应用程序替换:恶意软件会杀死合法的加密钱包应用程序,例如 Ledger Live、Trezor Suite 和 Exodus,以提升的权限删除它们,并用从攻击者基础设施下载的木马化“吸血器”版本替换它们。

这些假冒应用模仿了原有的用户体验,同时提示用户输入 PIN 码和恢复短语,通过在人机界面层捕获秘密信息,有效地绕过了硬件钱包的安全机制。

Odyssey 还作为恶意软件即服务平台运营,拥有联盟会员可访问的管理面板和构建器,可生成自定义变种,并提供受感染主机、被盗密码、cookie 和钱包清单的仪表板。

来自 CloudSEK、CYFIRMA、Censys 等公司的研究人员发表了详细的分析和入侵指标,强调了严格验证软件下载来源、警惕要求终端命令的基于浏览器的验证码以及立即检查 macOS 系统上任何意外替换的钱包应用程序的必要性。

对于加密货币风险敞口较高或拥有大量 macOS 设备的组织而言,主动查找可疑的 LaunchDaemons、异常osascript使用和无法解释的应用程序替换,/Applications现在已成为对抗 Odyssey Stealer 持续全球攻击活动的关键控制措施。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《Odyssey Stealer 攻击全球 Mac 电脑,并将加密钱包应用替换为窃取数据程序》

评论:0   参与:  0