Odyssey Stealer colpisce gli utenti macOS: oltre 100 paesi e 300 estensioni crypto a rischio
Se utilizzi un computer Mac, sei potenzialmente a rischio di un nuovo e pericoloso attacco informatico chiamato Odyssey Stealer. Questo malware si sta diffondendo rapidamente in oltre 100 paesi, sfruttando la fiducia degli utenti verso aggiornamenti software legittimi per rubare dati sensibili, password e, soprattutto, fondi criptovaluta. La soluzione immediata per proteggersi è semplice ma cruciale: non eseguire mai comandi richiesti da pagine di aggiornamento improvvise, non scaricare software da siti non ufficiali e verifica sempre l’autenticità dei link prima di installare qualsiasi applicazione. Se hai già inserito dati o eseguito comandi su una pagina sospetta, disconnetti immediatamente il Mac dal network, cambia tutte le password da un dispositivo sicuro e controlla i tuoi account criptovaluta.
Il meccanismo di attacco: truffe social engineering e ClickFix
Odyssey Stealer non sfrutta nuove vulnerabilità tecniche del sistema operativo macOS, ma si basa su un inganno psicologico sofisticato noto come social engineering. Gli attaccanti creano siti web che imitano piattaforme di download affidabili come Homebrew, Microsoft Teams, TradingView o app di wallet come Ledger Live. Quando l’utente tenta di scaricare un aggiornamento o un software, viene reindirizzato a una pagina che simula una verifica CAPTCHA falsa. Questa pagina, spesso chiamata tecnica ClickFix, invita l’utente a copiare e eseguire un comando nel terminale del Mac, promettendo di risolvere un problema o completare l’installazione.
Una volta che l’utente esegue il comando, il malware viene attivato silenziosamente. A differenza di molti virus che mostrano comportamenti evidenti, Odyssey Stealer lavora in background, esplorando il sistema per trovare informazioni preziose. Il suo obiettivo principale è raccogliere tutto ciò che può essere utilizzato per accedere a account personali, aziendali o finanziari. La campagna è particolarmente aggressiva perché non si limita a un singolo tipo di utente: colpisce investitori privati, corporate Mac users e sviluppatori, creando un impatto diffuso su scala globale.
Cosa ruba Odyssey Stealer: dati browser, credenziali e file personali
Le capacità di questo infostealer sono molto più ampie di quanto ci si possa aspettare da un semplice virus per browser. Odyssey Stealer è progettato per raccogliere una vasta gamma di dati sensibili, inclusi:
- Password e cookie di sessione: Il malware estrae credenziali salvate e cookie attivi da browser popolari come Chrome, Brave, Edge, Vivaldi, Opera, Arc, Firefox, Waterfox e Safari. Questo permette agli attaccanti di accedere agli account dell’utente senza nemmeno conoscere la password, sfruttando le sessioni già autenticate.
- Dati di autofill: Informazioni come nomi, indirizzi, dettagli di pagamento e dati salvati per comodità vengono rubati, facilitando frodi finanziarie e identità digitali.
- File personali: Il malware scansiona le cartelle Desktop e Documenti per recuperare file con estensioni specifiche come
.txt,.pdf,.docx,.jpg,.png,.rtfe.kdbx, potenzialmente includendo documenti contrattuali, foto personali o database di password. - Credenziali di sistema: Odyssey accede al Keychain di macOS, il gestore di password integrato, per recuperare password Wi-Fi, credenziali FTP, informazioni di carte di credito e logins di sito web.
Per gli sviluppatori e i lavoratori remoti, il rischio è ancora più alto. Il malware cerca e ruba chiavi SSH, configurazioni per servizi cloud come AWS, Google Cloud, Azure e Docker, nonché dati di log per applicazioni come FileZilla, Telegram e Discord. Questo accesso permette agli attaccanti di infiltrarsi più profondamente negli ambienti aziendali, rubando fondi o prendendo il controllo di server interi.
Il targeting specifico delle criptovalute: 300 estensioni e 16 app desktop
La caratteristica più pericolosa di Odyssey Stealer è il suo focus aggressivo sulle criptovalute. Gli analisti di Moonlock Lab hanno identificato che il malware mira a circa 300 estensioni di wallet crypto per browser, tra cui le più famose come MetaMask e Phantom. Invece di concentrarsi su un solo servizio, l’attacco cerca un’ampia varietà di wallet, aumentando le probabilità di successo. Inoltre, il malware scansiona il sistema per file associati a 16 applicazioni desktop per criptovalute, inclusi Electrum, Exodus, Ledger Live, Trezor Suite, Bitcoin Core, Litecoin Core, Dash Core e Monero. Questo significa che anche gli utenti che gestiscono hardware wallet tramite app companion sono a rischio.
Un aspetto ancora più grave è la capacità di Odyssey di reperire wallet files e chiavi private, permettendo agli attaccanti di trasferire direttamente le criptovalute. Inoltre, il malware può sostituire le applicazioni legittime di wallet (come Ledger e Trezor) con versioni trojanizzate. In pratica, l’utente potrebbe credere di utilizzare un programma sicuro, mentre l’app sostituita è programmata per rubare le transazioni o reindirizzare i fondi verso gli indirizzi degli attaccanti.
Persistenza e tecniche avanzate: come il malware rimane nel sistema
Odyssey Stealer non è un attacco “una volta e via”. Il malware è progettato per persistere nel sistema macOS, garantendo che l’attacco continui anche dopo un riavvio del computer. Per fare questo, installa un LaunchDaemon, un componente del sistema che avvia programmi automaticamente. Questa persistenza rende molto difficile la rimozione del malware senza strumenti specifici o azioni di ripristino del sistema.
Inoltre, Odyssey utilizza una infrastruttura di Command and Control (C2) sofisticata, con un server principale e domini di fallback (come rahtam.com e scubin.com). Questo permette al malware di ricevere istruzioni e inviare dati rubati anche se una connessione viene interrotta. Gli attaccanti utilizzano anche payload di seconda fase, suggerendo che l’infestazione potrebbe evolvere da una semplice fase di furto dati a un accesso remoto completo (RAT), permettendo un controllo totale del dispositivo infetto.
Come proteggersi: best practice e rimozione
La prevenzione è la strategia migliore contro Odyssey Stealer. Gli utenti devono adottare le seguenti misure di sicurezza:
- Verifica le fonti: Scarica software solo dal sito ufficiale del vendor o dal Mac App Store. Non fidarti di link inviati via email o messaggi improvvisi.
- Ignora gli aggiornamenti falsi: Se una pagina web richiede l’esecuzione di un comando nel terminale per “aggiornare” o “verificare” qualcosa, è quasi certamente una truffa. Gli aggiornamenti legittimi non richiedono comandi manuali.
- Controlla le applicazioni: Prima di inserire informazioni di recupero o password in un’app wallet, verifica che l’applicazione non sia stata modificata o sostituita.
- Monitora il sistema: Le aziende e gli utenti esperti dovrebbero controllare la presenza di LaunchDaemons sconosciuti, connessioni di rete in uscita insolite e cambiamenti nelle applicazioni wallet.
Se sospetti un’infestazione, agisci immediatamente: disconnetti il Mac dal network, cambia le password da un dispositivo sicuro (non il Mac infetto), controlla i tuoi account criptovaluta per transazioni non autorizzate e cerca supporto da professionisti di incident response prima di ripristinare l’accesso normale.
Technical Deep Dive
Per gli utenti tecnici e i professionisti della sicurezza, ecco un’analisi dettagliata dei meccanismi operativi di Odyssey Stealer basata sulle ricerche di Moonlock Lab, Censys e CYFIRMA.
Architettura e Payload
Odyssey Stealer è una variante di AMOS (Atomic macOS Stealer), a sua volta derivata da Poseidon Stealer. Il malware è spesso distribuito tramite AppleScript obfuscato (.scpt) che esegue comandi di sistema per raccogliere dati. Il payload principale utilizza dscl . authonly per validare la password dell’utente contro la directory locale, permettendo l’accesso al Keychain e la sostituzione delle applicazioni.
Indici di Compromissione (IoCs)
Gli analisti hanno identificato i seguenti indici di compromissione per identificare l’attività di Odyssey:
| Tipo | Indicatore | Descrizione |
|---|---|---|
| IP Address | 165.245.215.18 | Server principale Command-and-Control (C2) |
| Domain | rahtam.com | Dominio di fallback per C2 |
| Domain | scubin.com | Dominio di fallback secondario per C2 |
Nota: Gli indirizzi IP e i domini sono defangati per prevenire risoluzione accidentale. Riferangare solo in piattaforme di threat intelligence controllate come MISP, VirusTotal o SIEM.
Flusso di Esfiltrazione Dati
- Raccolta: Il malware estrae dati da browser (Chrome, Firefox, Safari), wallet crypto (MetaMask, Electrum, Ledger Live), Keychain, Apple Notes e file locali (
.txt,.pdf,.wallet). - Compressione: I dati raccolti vengono archiviati in un file ZIP temporaneo in
/tmp/out.zip. - Esfiltrazione: Il file ZIP viene inviato al server C2 tramite una richiesta
POSTal endpoint/log, utilizzandocurlper l’esecuzione. - Persistenza: Il malware installa un LaunchDaemon per garantire il riavvio automatico e modifica le configurazioni di crittografia per sostituire le app legittime con versioni trojanizzate.
Targeting Avanzato
Il malware scansiona specifiche directory di sistema:
~/Library/Application Support/per wallet desktop (Electrum, Exodus, Atomic).~/Library/Keychains/per il database di password.~/Desktope~/Documentsper file personali.
Inoltre, Odyssey include un stage-two backdoor e configura file nascosti nella home directory dell’utente per salvare dettagli come l’IP C2, l’username e il bot ID, facilitando run successivi dello stealer senza necessità di re-infezione.
Fonte: https://cybersecuritynews.com/odyssey-stealer-hits-macos-users/





