Odyssey Stealerは大規模なmacOS向け情報窃取キャンペーンを展開しており、その被害は現在100カ国以上に及んでいます。攻撃者は正規の暗号資産ウォレットアプリをドレイナー型トロイの木馬に組織的に置き換え、暗号資産エコシステムを乗っ取っています。
この攻撃は、高度なソーシャルエンジニアリング、AppleScriptを使ったステルス性、そして永続的なLaunchDaemonを組み合わせることで、侵害されたMacを認証情報や鍵、暗号資産を収集し続ける長期的な拠点に変えてしまいます。
複数のセキュリティベンダーのテレメトリによれば、Odyssey Stealerの活動は2026年初頭以降着実に増加しており、北米、欧州、アジアをはじめとする各地域で感染が確認されていて、真にグローバルな広がりを持つことが裏付けられています。
研究者らはまた、以前のPoseidon Stealerの活動との関連性も指摘しており、これが単独の亜種ではなく継続的に進化してきたものであることを示唆しています。
Odysseyの配布は「ClickFix」と呼ばれる手法に大きく依存しています。被害者は偽のCAPTCHAや検証ページに誘導され、そこでオペレーティングシステムが確認された後、base64でエンコードされたコマンドをターミナルにコピー&ペーストするよう指示されます。これにより、AppleScriptローダーが密かに実行される仕組みです。
このマルウェアはスクリプトベースであり、従来型のバイナリを設置するのではなくosascript経由で実行されることが多いため、従来型の実行ファイル型ペイロードを想定したエンドポイント防御の多くを、当初は回避できてしまいます。
実行されると、Odyssey StealerはブラウザとmacOSのネイティブコンポーネントの両方にまたがる広範なデータ収集を行います。
Moonlock Researchersによれば、このキャンペーンはmacOSに的を絞っており、Microsoft Teams、Homebrew、Ledger Liveといった信頼されるツールになりすましたマルバタイジングやフィッシングを通じて、開発者、管理者、暗号資産トレーダー、経営幹部を標的としています。
Chromium系ブラウザ(Chrome、Brave、Edge、Vivaldi、Opera、Arc)やFirefox系ブラウザから、パスワード、Cookie、自動入力データを系統的に収集し、オンラインアカウントの完全な乗っ取りやセッションハイジャックを可能にしています。
同時に、macOSのキーチェーンの項目、決済情報、DesktopフォルダやDocumentsフォルダ内のファイルも標的にしており、*.txt、*.pdf、*.docxといった機密性の高い形式や、KeePassのパスワードデータベースファイル(.kdbx)なども対象に含まれます。
Odyssey StealerによるMac攻撃
暗号資産に特化した設計は、デスクトップ型ウォレットとブラウザ拡張機能の両方を標的としている点に表れています。現時点の分析では、Electrum、Exodus、Ledger Live、Trezor Suite、Bitcoin/LTC/Dash Core、Moneroを含む少なくとも16~18種類のデスクトップ型ウォレットに対応しているほか、web3ウォレットやDeFiプラグイン向けの拡張機能ID数百件にも対応していることが確認されています。
A recent surge in the #Odyssey stealer on #macOS has hit 100+ countries.
What this variant does:
– Harvests passwords, cookies & autofill from Chrome, Brave, Edge, Vivaldi, Opera, Arc, Firefox/Waterfox
– Steals wallet files from 16+ crypto apps (Electrum, Exodus, Ledger Live,… pic.twitter.com/GWZNgUUyO0— Moonlock Lab (@moonlock_lab) July 8, 2026
窃取されたデータは、通常/tmp配下のout.zipといったアーカイブにまとめられた後、curlによるPOSTリクエストを通じてC2サーバーへ送信されます。一時的なネットワーク制御下でも確実に送信できるよう、何度もサイレントにリトライが行われます。
認証情報や暗号資産にとどまらず、Odysseyは SSH鍵、クラウドおよびコンテナの設定ファイル(AWS、GCP、Azure、Docker)、FileZillaのFTPプロファイル、Telegram・Discordのデータ、シェル履歴、さらにmacOSのディレクトリサービスへの問い合わせを利用してローカルアカウントのパスワードまで収集します。
この収集範囲の広さにより、感染ホストは横展開やクラウドアカウントの侵害、さらにはアフィリエイトによる二次的な収益化にとっても価値の高い標的となっています。
永続化のため、Odysseyはランダムな名前com.<random>.plistを持つLaunchDaemonのplistファイルを/Library/LaunchDaemons/に設置し、launchctl bootstrap systemを使ってこれを登録します。これが失敗した場合には、nohup方式のフォールバックループでスティーラーの動作を維持します。
これにより、マルウェアは再起動後も生き残り、C2への定期的な通信チャネルを維持することができます。オペレーターはこの経路を通じて新たなコマンドを発行したり、更新された設定を配信したりできます。
特に危険な挙動の一つがアプリケーションの入れ替えです。マルウェアはLedger Live、Trezor Suite、Exodusといった正規の暗号資産ウォレットアプリを終了させ、昇格した権限で削除した上で、攻撃者のインフラからダウンロードしたトロイの木馬化された「ドレイナー」版に置き換えます。
これらの偽アプリは元のUXを模倣しながらユーザーにPINやリカバリーフレーズの入力を促し、ヒューマンインターフェース層で機密情報を取得することで、実質的にハードウェアウォレットのセキュリティを迂回してしまいます。
Odysseyはマルウェア・アズ・ア・サービス(MaaS)プラットフォームとしても運用されており、アフィリエイトがアクセスできる管理パネルとビルダーによってカスタマイズされた亜種が生成されるほか、感染ホスト、窃取されたパスワード、Cookie、ウォレットの一覧を示すダッシュボードも提供されています。
CloudSEK、CYFIRMA、Censysなどの企業に所属する研究者らは詳細な分析と侵害指標(IOC)を公表しており、ソフトウェアのダウンロード元を厳格に確認すること、ターミナルコマンドを要求するブラウザ上のCAPTCHAには警戒すること、そしてmacOSシステム上でウォレットアプリが予期せず置き換えられていないか直ちに確認することの重要性を強調しています。
暗号資産への関与度が高い組織や大規模なmacOS環境を運用する組織にとっては、不審なLaunchDaemon、異常なosascriptの使用、そして/Applications内での不可解なアプリ入れ替えを能動的に検知することが、Odyssey Stealerによる現在進行形のグローバルキャンペーンに対抗するための重要な管理策となっています。
2019年当時のSOC向けに書かれたSLAを受け入れるのはもうやめましょう――2026年版AI SLA ベンダーチェックリストはこちら – 無料の AI SOC SLA ガイドをダウンロード
翻訳元: https://gbhackers.com/odyssey-stealer-attacks-macs/