文章总结: OdysseyStealer恶意软件再次针对macOS用户发起攻击,已波及100多个国家。该恶意软件通过欺骗性软件和更新提示传播,利用社会工程学诱饵诱导用户执行恶意命令。它能够从主流浏览器窃取密码、Cookie和自动填充数据,并针对约300个加密货币钱包扩展和16款桌面钱包应用进行攻击。恶意软件还通过安装LaunchDaemon实现持久化,并替换Ledger、Trezor等钱包应用为木马版本。用户应从官方来源下载软件,对意外更新保持警惕;企业应监控可疑的LaunchDaemon和异常连接。 综合评分: 85 文章分类: 恶意软件,社会工程学,数据泄露,威胁情报,安全运营
Odyssey Stealer再度袭击macOS用户,波及100多个国家
FreeBuf
2026年7月12日 18:00 上海
在小说阅读器读本章
去阅读
Odyssey Stealer再次将目标对准macOS用户,近期攻击活动激增,已波及100多个国家的受害者。这款信息窃取恶意软件专门收集凭证、浏览数据、加密货币资产及其他敏感文件,可迅速暴露个人及企业账户。
该攻击活动通过欺骗性软件和更新提示传播,包括ClickFix式社会工程学诱饵,诱导用户运行恶意命令。一旦启动,恶意软件会静默搜索设备中的有价值信息,并将其发送至攻击者控制的基础设施。
这些诱饵利用用户的常规操作习惯,而非利用新披露的macOS漏洞。一个看似可信的提示就能将正常的下载或故障排查步骤转变为感染过程。因此,即使保持操作系统更新,用户也必须仔细核实来源。
Moonlock Lab在分享给Cyber Security News(CSN)的报告中指出,这一广泛攻击面可能影响个人用户、投资者及企业Mac用户。Moonlock Lab的分析人员识别了此次最新活动,并报告称该恶意软件拥有比一般以浏览器为目标的窃密程序更广泛的窃取能力。
Part01
针对浏览器和密码的全面窃取
研究人员发现,Odyssey能够从主流浏览器中收集密码、Cookie和自动填充数据,包括Chrome、Brave、Edge、Vivaldi、Opera、Arc、Firefox和Waterfox。
其影响不仅限于浏览器登录信息。通过窃取钱包数据、云平台和开发者凭证、即时通讯应用信息以及本地系统记录,攻击者可利用多个途径盗取资金、接管账户或深入侵入受影响环境。
自动填充信息还会暴露姓名、地址、支付详情及其他为便利而保存的数据。对于开发人员、管理员和远程工作者而言,SSH密钥以及AWS、Google Cloud、Azure和Docker的配置数据被盗尤为危险。被盗的FileZilla登录凭证、Keychain数据库数据、Telegram和Discord信息、shell历史记录以及本地可检索的密码,都可能在初始入侵后进一步扩大危害。
Part02
加密货币用户面临严重风险
加密货币用户在此次Odyssey Stealer版本中面临尤为广泛的威胁。Moonlock Lab表示,该恶意软件瞄准约300个加密货币钱包扩展的ID,这种方法让攻击者能够搜索大量基于浏览器的钱包,而非依赖某一种流行服务。
恶意软件还会搜索与16款桌面加密货币应用程序相关联的钱包文件。目标应用包括Electrum、Exodus、Ledger Live、Trezor Suite、Bitcoin Core、Litecoin Core、Dash Core和Monero,这使得软件钱包用户以及通过配套应用管理硬件钱包的用户均面临风险。
窃取流程不仅限于钱包。Odyssey可获取浏览器密码和会话Cookie,攻击者可能因此无需立即知道密码就能访问账户。自动填充信息还会暴露姓名、地址、支付详情及其他为便利而保存的数据。对于开发人员、管理员和远程工作者而言,SSH密钥以及AWS、Google Cloud、Azure和Docker的配置数据被盗尤为危险。被盗的FileZilla登录凭证、Keychain数据库数据、Telegram和Discord信息、shell历史记录以及本地可检索的密码,都可能在初始入侵后进一步扩大危害。
Part03
持久化机制提升威胁等级
该恶意软件试图通过在Mac上安装持久化的LaunchDaemon来驻留系统。LaunchDaemon是一种系统组件,可自动启动程序。这使Odyssey在重启后有更大机会重新运行,继续其数据收集活动,且无需受害者重新打开原始诱饵。
Moonlock Lab还观察到,攻击操作会替换Ledger、Trezor和Exodus应用程序,替换为旨在盗取钱包的木马版本。受害者可能认为自己正在使用可信的钱包程序,但实际上替换后的应用被设计为重定向或窃取加密货币交易。
攻击者使用一个主C2服务器和备用域名,即使一条连接路径中断,恶意软件也能接收指令并传输窃取的数据。该攻击活动还使用了第二阶段的木马钱包载荷,表明感染可能在首次窃取数据阶段之后进一步升级。
用户应始终在安装软件前验证来源。仅从官方供应商网站或Mac App Store下载软件,对意外的更新提示保持警惕,并在输入恢复信息前检查钱包应用,可降低风险暴露。
企业应留意可疑的LaunchDaemon、异常的对外连接以及钱包应用的意外变化。任何怀疑遭受感染的用户应立即断开Mac与网络的连接,从另一台可信设备更改凭证,检查加密货币账户,并在恢复正常访问前寻求事件响应支持。
攻击指标(IoCs):
注意:IP地址和域名已进行脱敏处理(如[.]),以防止意外解析或超链接。仅在受控威胁情报平台(如MISP、VirusTotal或您的SIEM)中恢复原始格式。
参考来源:
Odyssey Stealer Hits macOS Users in 100+ Countries, Targets 300 Crypto Wallet Extensions
Odyssey Stealer Hits macOS Users in 100+ Countries, Targets 300 Crypto Wallet Extensions
推荐阅读
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
电报讨论
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:FreeBuf 《Odyssey Stealer再度袭击macOS用户,波及100多个国家》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论