概要:Odyssey Stealerの新たな脅威
macOSユーザーを標的としたOdyssey Stealerの活動が急増しており、複数の大陸で活発なサイバー攻撃キャンペーンを展開しています。最近のテレメトリーデータによると、この洗練された情報窃取マルウェアは、これまでの米国、フランス、スペインに加えて、英国、ドイツ、イタリア、カナダ、ブラジル、インド、そしてアフリカおよびアジアの複数の国々に急速に拡大しています。
このマルウェアは主に欧米諸国のユーザーを標的にしており、CIS諸国での被害は意図的に回避しています。これは、ロシア系のサイバー犯罪グループによく見られる特徴です。
Odyssey Stealerの進化
Odyssey Stealerは、macOSを標的とするマルウェアの最新の進化形であり、元々はAMOS StealerのフォークであったPoseidon Stealerのブランド変更版として登場しました。2024年秋にPoseidon Stealerが売却された後、開発者の「Rodrigo4」は、検出回避と侵害されたシステムでの永続性を確保するために大幅に機能強化されたOdyssey Stealerとして、その活動を再開しました。
巧妙な配布手法と機能
攻撃者は、巧妙なソーシャルエンジニアリングの手法、特に「ClickFix」技術を利用した偽のCAPTCHA認証ページを通じてOdyssey Stealerを配布しています。被害者がMicrosoft Teams、Homebrew、Ledger Liveなどの正規ソフトウェアのダウンロードを偽装した侵害されたウェブサイトを訪問すると、OSを確認する偽のCAPTCHAページに誘導され、悪意のある指示が表示されます。
Odyssey Stealerが実行されると、広範囲にわたるデータ窃取を行います。マルウェアは以下の情報を収集します。
- Tron、Electrum、Binanceを含む仮想通貨ウォレットデータ
- Chrome、Firefox、Safariからのブラウザの認証情報、Cookie、ログイン情報
- 100以上のブラウザ拡張機能のデータ
- macOSキーチェーンパスワード
- 支払い情報、閲覧履歴、自動入力データ
- デスクトップおよびドキュメントフォルダ内のファイル(.txt、.pdf、.docx、.jpg、.png、.rtf、.kdbxなどの拡張子)
永続性とデータ流出のメカニズム
マルウェアは、com.{ランダム}.plistのようなランダムに生成された名前のLaunchDaemonsを通じて永続性を確立し、システム再起動後も存続します。攻撃は、ユーザーがbase64でエンコードされたコマンドをターミナルにコピーして実行するように促します。これにより、従来のバイナリファイルをドロップすることなく、悪意のあるAppleScriptがデコードされ、スティール機能がインストールされます。
高度な亜種には、技術サポートを装ってユーザーにパスワードを入力させるソーシャルエンジニアリングを用いるSwiftUIベースの「テクニシャンパネル」が含まれています。盗まれたデータは一時ディレクトリ内に「out.zip」という名前のファイルに圧縮され、curl POSTリクエストを介してコマンド&コントロール(C2)サーバーに送られます。初期アップロードが失敗した場合でも、マルウェアは接続が一時的にブロックされていても、60秒間隔で最大10回サイレントに再試行し、継続的なデータ送達を保証します。
データ流出が成功した後、スクリプトは一時ディレクトリとzipファイルを削除し、活動の痕跡を消し去ることで、フォレンジック分析を困難にしています。
Odysseyオペレーションの制御パネル
Odysseyオペレーションは、攻撃者が感染したデバイスをIPアドレスやオンラインステータスなどの詳細情報とともに確認し、盗まれたパスワード、Cookie、仮想通貨ウォレットを整理されたログとして保存し、ビルダー機能を使用して異なる標的向けにカスタムマルウェアバージョンを作成できる洗練された制御パネルを備えています。攻撃者が収集したデータにアクセスするためのOdyssey StealerログインパネルをホストするC2 IPアドレス(例:45.46.130[.]131)などのインフラも特定されています。