AMOS Odyssey 是一个臭名昭著的 macOS 信息窃取程序(infostealer),Atomic macOS Stealer(简称 AMOS)的最新改名版本。不同于那些针对政府或记者的间谍软件,Odyssey 是一种由网络犯罪分子使用的工具,主要目的是从普通用户那里窃取金钱和个人信息。它的出现意味着对苹果生态系统的威胁正在增加,尤其是对活跃于加密货币领域的用户来说。
什么是 AMOS Odyssey 恶意软件?
AMOS 最初在俄语论坛上出售,被宣传为一款强大的 macOS 信息窃取工具。它的新名字 Odyssey 代表一个功能升级的版本,拥有更多新特性。Odyssey 专门用于窃取财务数据、浏览器账号和文件,对加密货币用户尤其危险。
AMOS Odyssey 是如何感染 macOS 用户的?
Odyssey 并不是通过强行入侵,而是通过欺骗手段传播。最常见的方式包括伪造的破解软件、恶意广告,以及冒充软件更新的钓鱼网站。其中一种臭名昭著的方法叫做 “ClickFix”,诱导用户在终端(Terminal)中输入恶意命令,谎称这是验证过程。
Odyssey 会窃取哪些数据?
一旦安装,Odyssey 会深入系统,窃取浏览器的密码、自动填充信息和 cookies,支持的浏览器包括 Chrome、Safari、Firefox、Brave 和 Edge。它还会攻击 Apple Keychain(钥匙串)中的账号、Telegram 聊天记录,以及加密货币钱包,如 Exodus、Electrum 和 Coinomi。除此之外,它还可能窃取 “Documents” 和 “Desktop” 文件夹中的文件。
Odyssey 如何躲避检测?
Odyssey 使用了多种高级技术来避免被发现。它会混淆代码、更换哈希签名,并使用 XOR 编码来绕过杀毒软件。如果发现自己运行在沙盒或虚拟机环境中,它会自动关闭以避免被分析。最近的更新甚至加入了后门功能,攻击者可以用恶意应用替换用户的合法程序。
为什么 Odyssey 对加密货币用户特别危险?
加密货币持有者是主要目标,因为 Odyssey 会直接搜索存储在 macOS 上的热钱包(hot wallet)。通过窃取钱包密钥或应用数据,攻击者可以轻松转走数字资产,而几乎没有追回的可能。Odyssey 在 Reddit 等平台上的出现,显示这种恶意软件正被积极推广给毫无防备的加密货币用户。
总结
AMOS Odyssey 是一个经过改名、极具危险性的 macOS 信息窃取程序,专门针对加密货币用户和个人数据进行精准攻击。它的不断发展提醒我们,Mac 用户,尤其是持有加密资产的人,必须时刻保持警惕,及时更新系统,并避免下载可疑软件。
