Odyssey infostealerによる新たな攻撃活動が確認され、100カ国を超えるmacOSユーザーを標的にブラウザの認証情報、暗号資産ウォレット、クラウド設定ファイル、メッセージアプリのデータを窃取しています。
このマルウェアは永続化の仕組みも確立しており、正規の暗号資産ウォレットアプリケーションをトロイの木馬化されたバージョンに置き換えて被害者の資金を抜き取ることができます。
研究者らは、OdysseyがApple製デバイスから幅広い高価値データを収集するよう設計されていると警告しています。
ブラウザセッション、macOSのKeychainデータ、暗号資産、開発者向け認証情報を重点的に狙う点で、個人ユーザーと組織の双方にとって深刻な脅威となっています。
これにより、メールアカウント、企業向けSaaSプラットフォーム、暗号資産取引所、クラウド管理ポータルなどが危険にさらされる可能性があります。
このinfostealerはさらにmacOSのKeychainデータベースも収集します。ここには保存済みパスワード、証明書、Wi-Fi認証情報、秘密鍵など、機密性の高い情報が含まれている可能性があります。
さらに、macOSのDirectory Serviceコマンドラインユーティリティであるdsclを利用してローカルアカウントのパスワードを取得しようとします。Odysseyは暗号資産ユーザーを重点的に狙っています。
Electrum、Exodus、Ledger Live、Trezor Suite、Bitcoin Core、Litecoin Core、Dash Core、Moneroウォレットなど、161616を超えるアプリケーションに関連するウォレットファイルを検索します。
また、暗号資産ウォレットに関連するブラウザ拡張機能の識別子も約300件探索します。ウォレットデータ以外にも、このマルウェアはSSH秘密鍵やクラウドサービスの設定ファイルも収集します。
標的となるファイルには、AWS、Google Cloud Platform、Microsoft Azure、Dockerの認証情報や設定が含まれる場合があります。これらの情報が攻撃者の手に渡れば、クラウド環境、ソースコードリポジトリ、サーバー、コンテナ基盤への侵入を許すことになりかねません。
その他にも、FileZillaのログイン情報、TelegramやDiscordの情報、Zshのコマンド履歴、認証情報や操作履歴が判明しかねないローカルシステムファイルなども標的となっています。
Odysseyは単なるデータ窃取ツールとしてのみ機能するわけではありません。永続的なmacOSのLaunchDaemonをインストールすることができ、これによりシステム再起動後も自動的に実行され、活動を継続します。
LaunchDaemonはバックグラウンドサービスを実行するための正規のmacOSの仕組みですが、マルウェアが長期的なアクセスを維持するために悪用するケースがよく見られます。
今回のキャンペーンでは、選定された正規の暗号資産アプリケーションを悪意ある「ドレイナー」バージョンに置き換えることも報告されています。moonlockによると、置き換えの標的にはLedger Live、Trezor Suite、Exodusなどが含まれるとのことです。
ドレイナーアプリケーションは信頼されているウォレットのインターフェースを模倣し、被害者にリカバリーフレーズを開示させたり、悪意ある取引を承認させたり、攻撃者が管理するアドレスへ資産を送金させたりするよう仕向けます。
この手口により、正規のウォレットソフトウェアを使用していると信じ込んでいる被害者ほどリスクが高まります。最初の窃取が発生した後も、トロイの木馬化されたアプリケーションが稼働し続けることで、新たな入金や今後の暗号資産取引が引き続き危険にさらされる可能性があります。
翻訳元: https://cyberpress.org/odyssey-steals-mac-crypto-wallets/