一场复杂的网络攻击活动正针对 macOS 用户展开,攻击者通过伪装成微软 Teams 官方下载页面的虚假网站,分发具有强大窃取能力的 “Odyssey” 信息窃取器。
该攻击由 CloudSEK 公司旗下 TRIAD 团队的研究人员发现,攻击者利用名为 “点击修复(Clickfix)” 的社会工程学攻击手段,诱骗受害者执行恶意代码 —— 这些代码会系统性窃取敏感数据、建立长期持久化控制,甚至用植入恶意程序的版本替换合法的加密货币应用。
此次攻击活动是 2025 年 8 月初 Forcepoint 公司报告的类似攻击的战术升级:当时威胁行为者通过伪造的 TradingView 网站分发了同款恶意软件。
而此次攻击者将钓鱼诱饵转向微软 Teams 这类受信任的企业应用,目的是扩大攻击范围,诱捕更多不同类型的受害者。
攻击流程始于用户访问一个伪造网页 —— 该网页伪装成微软 Teams 的安全验证页面,提示用户需解决所谓的 “异常网络流量” 问题,具体操作是将一条命令复制并粘贴到 macOS 终端中。
尽管页面上显示的命令看似无害,但 “复制(Copy)” 按钮实际会将经过 Base64 编码的恶意 AppleScript 载荷复制到用户剪贴板。当毫无防备的用户执行该命令时,便会在不知情的情况下启动 Odyssey 窃取器。
恶意软件激活后,会启动多阶段流程以全面攻陷系统:
- 凭证窃取:脚本首先通过弹出伪造的对话框(显示 “需要应用程序助手。请输入设备密码以继续。”)尝试获取用户密码,并持续弹窗直至用户输入正确密码。随后,攻击者会利用该密码访问并窃取 macOS 登录钥匙串(Keychain)和 Chrome 浏览器钥匙串中的数据。
- 大范围数据收集:Odyssey 会对受感染设备进行全面扫描,收集各类个人及财务信息,具体包括:
- 苹果生态数据:提取完整的苹果备忘录(Apple Notes)数据库(含附件),以及 Safari 浏览器的 Cookie、已保存表单数据等信息;
- 浏览器数据:针对基于 Chromium 内核的浏览器(Chrome、Edge、Brave、Opera)和基于 Firefox 内核的浏览器,窃取 Cookie、网页数据及已保存的登录凭证;同时还会专门搜索大量浏览器扩展程序的数据,重点针对密码管理器和 MetaMask 等加密货币钱包;
- 加密货币钱包数据:递归复制多款桌面端加密货币钱包的数据,包括 Electrum、Exodus、Atomic、Wasabi、Ledger Live 和 Trezor Suite;
- 个人文件:在用户的 “桌面(Desktop)” 和 “文档(Documents)” 文件夹中搜索扩展名为.txt、.pdf、.doc、.wallet、.key 的文件,打包不超过 10MB 的此类文件以备窃取。
- 数据窃取(数据外传):所有窃取的数据会在临时目录中压缩为单个名为
out.zip的压缩文件,随后发送至 IP 地址为 185.93.89.62 的命令与控制(C2)服务器 —— 该服务器同时托管着 Odyssey 窃取器工具包的登录面板。
- 持久化控制与篡改:为确保长期访问权限,Odyssey 会创建一个 LaunchDaemon(macOS 系统中的一种服务,可在系统启动时自动运行)。攻击者利用此前窃取的密码获取管理员权限,安装该后门程序。更肆无忌惮的是,恶意软件会终止合法的 Ledger Live 应用进程、删除该应用,并用从 C2 服务器下载的植入恶意程序的版本替换它 —— 这使得攻击者能直接控制用户与加密货币硬件钱包的交互过程。
此次攻击对受害者造成的后果极为严重,包括凭证被盗、数据泄露,以及加密货币钱包被攻陷导致的重大财务损失。而持久化机制意味着,即便完成一次性数据窃取,系统仍会处于被攻陷状态,面临后续攻击风险。
为防范这一威胁,安全专家建议采取以下措施:
- 网络监控:阻断指向已知 C2 服务器 IP 地址(185.93.89.62)的流量,同时监控包含大型 ZIP 文件的异常出站 POST 请求;
- 终端安全:定期检查
/Library/LaunchDaemons/目录中的可疑文件,留意近期出现的、非预期的osascript(AppleScript 执行命令)运行记录;
- 用户警惕性:当网站要求在终端中运行命令时,务必高度警惕;在进行下载操作前,先验证下载页面的真实性;
- 事件响应:若怀疑设备已被感染,需立即在未受感染的干净系统上重置所有关键账户密码(苹果 ID、邮箱、银行账户、加密货币钱包等);删除被植入恶意程序的 Ledger Live 应用,必要时可对系统进行全面格式化并重新安装,以确保彻底清除恶意软件。
评论