在数字世界中，网络安全的威胁层出不穷，其中木马病毒作为一种隐藏的恶意软件，尤其值得关注。最近，有关安全研究人员发现，一伙黑客正在通过一个假冒的 Microsoft Teams 下载网站来传播名为Odyssey的信息窃取木马，这一攻击显著加剧了针对 macOS 用户的威胁。

这一攻击的操作方式非常巧妙。攻击者首先设置了一个看似合法的网页，假装是 Microsoft Teams 的安全验证页面，利用社交工程的手段，使用户误以为必须执行某个命令以解决“异常网络流量”，此类策略在网络攻击中被称为Clickfix攻击。当用户按照提示复制命令并在其 macOS 终端中粘贴后，实际上是执行了一段恶意的AppleScript代码，启动了 Odyssey。

Odyssey 的恶意负载

Odyssey 一旦激活，便会启动一个多阶段的过程来彻底危害目标系统。首先，它会尝试获取用户的登录密码。为了实现这一点，木马将弹出一个假的对话框，要求用户输入设备密码。如果用户不知情地输入密码，那么木马会利用这个信息访问信息库，从中提取敏感数据，比如 macOS 登录钥匙串及 Chrome 浏览器的密码信息。

其次，Odyssey 还会在受感染的设备上进行全面的数据收集。这包括从 Apple Notes 数据库中提取所有笔记及其附件，以及浏览器的 cookie 和保存的表单数据。具体来说，这个木马会针对多个 Chromium 和 Firefox 浏览器，窃取其中的登录信息和 web 数据，特别关注金融信息及加密货币钱包的相关数据，比如 MetaMask、Ledger 和 Trezor 等。

此外，该木马不仅停留于此，它还会悄无声息地在用户的桌面和文档文件夹中寻找特定类型的文件，比如 .txt、.pdf、.doc 等，并压缩成一个文件，然后发送到攻击者的指挥控制（C2）服务器。这一服务器的 IP 地址记录在攻击指标中，成为安全专家们监控的重点。

持续性与篡改

为了确保长期的侵入，Odyssey 创建了一个 LaunchDaemon，这是 macOS 系统中的一种后台服务，可在设备启动时自动运行，给攻击者提供了便捷的后门。此外，Odyssey 还会逐步卸载原本合法的 Ledger Live 应用程序，并用一个被篡改过的版本替代，这使攻击者能够直接控制用户的加密货币硬件钱包。

当用户意识到被感染时，可能已经遭遇了严重的后果，包括凭证盗窃、数据泄露以及重要金融信息的损失。即便在一次数据被盗后，系统仍旧可能持续处于被攻击的状态，给用户带来更大的风险。

预防措施

面对这一威胁，网络安全专家建议用户采取一系列的保护措施，确保他们的设备和个人信息安全。首先，利用网络监控措施阻止已知的 C2 IP 地址，并监控异常的外发请求，尤其是那些包含大容量压缩文件的数据传输。

其次，保持终端安全，定期审查 /Library/LaunchDaemons/ 文件夹，以识别任何可疑文件。同时，用户在执行任何要求输入 Terminal 命令的网页时要谨慎，确保网站的合法性是第一位的。

如果怀疑设备已被感染，务必立即重置所有重要的密码（如 Apple ID、银行账户和加密货币钱包）。同时，建议将可疑的 Ledger Live 应用程序删除，并考虑完整系统重装来保证清除所有的恶意软件。

结论

如今的网络安全环境中，木马病毒的威胁依然存在，特别是在其伪装为正常应用程序的情况下，攻击者可以轻易地诱骗用户。在网络安全意识还需加强的时刻，用户更应该保持警惕，确保自己的设备与数据处于安全状态。通过定期的安全审查与更新，结合审慎的使用习惯，将大大降低遭遇此类网络攻击的风险。

总之，在这个数字化的时代，我们每个人都有责任保护自己的信息安全，时刻关注新的网络威胁，提升自己的防范能力。无论是企业还是个人，统一采取强有力的网络安全措施，才能共同建立一个更安全的网络环境。

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！