慢霧科技發現AMOS變種“Odyssey”利用虛假AI工具進行加密貨幣盜竊

慢霧科技首席信息安全官23pds報告稱，AMOS木馬變種“Odyssey”正通過虛假AI工具廣告竊取加密貨幣錢包信息，凸顯了重大的安全風險。

執行摘要

9月18日，慢霧科技首席信息安全官23pds透露，Odyssey，一個AMOS信息竊取木馬的變種，正積極瞄準加密貨幣用戶。這種惡意軟體通過Twitter等平臺上的虛假人工智能（AI）工具廣告傳播，誘騙個人下載偽裝成合法AI客戶端應用程序的惡意軟體。一旦安裝，Odyssey旨在竊取敏感數據，包括加密貨幣錢包信息、系統詳情和瀏覽器數據。

事件詳情

Odyssey是一種複雜的惡意軟體，利用AppleScript作為其主要有效負載來執行數據竊取。攻擊向量依賴於社會工程學，利用AI工具的普及性來分發惡意軟體。遇到這些欺詐性廣告的用戶會被提示下載看似合法的AI客戶端軟體。然而，下載的應用程序是惡意的，專門設計用於竊取敏感信息。這包括來自基於瀏覽器的加密貨幣錢包（如MetaMask、Trust Wallet、Phantom、Exodus、Coinbase Wallet和Ledger Live）的私鑰和助記詞，以及一般系統和瀏覽器數據。AMOS惡意軟體的早期版本，包括那些冒充Ledger應用程序的版本，已經證明能夠通過使用欺騙性文件和網路釣魚介面竊取24個單詞的助記詞來繞過Apple的Gatekeeper等安全措施。

市場影響

Odyssey變種的出現，凸顯了加密貨幣領域內一個關鍵且不斷演變的安全威脅格局。這種直接的錢包入侵大大助長了數字資產生態系統中不斷升級的金融損失。CertiK的數據顯示，2025年上半年約有24.7億美元的加密貨幣被盜，超過了2024年全年的總損失。錢包入侵被認為是代價最高的攻擊向量，2025年上半年在34起事件中造成了17億美元的損失，這主要由少數高影響事件驅動。像Odyssey這樣專門針對錢包憑證的複雜木馬的持續擴散，直接加劇了這一趨勢，侵蝕了用戶信任，並對個人資產安全構成了系統性風險。

專家評論

慢霧科技首席信息安全官23pds明確警告用戶要對這些威脅保持警惕。安全專家建議極端謹慎，敦促個人避免從非官方渠道下載任何AI工具或加密貨幣相關軟體。建議定期對設備進行安全檢查。正如慢霧科技首席信息安全官山崎就ModStealer等其他惡意軟體所強調的，更廣泛的專家共識強調了跨平臺和隱蔽數據竊取者對數字資產生態系統構成的嚴峻威脅。一般的安全建議包括：僅從官方商店下載錢包擴展，在安裝前驗證軟體發布者，以及盡可能啟用多因素身份驗證（MFA）。

更廣泛的背景與業務策略

Odyssey變種所採用的攻擊方法反映了攻擊者利用流行技術趨勢（如AI）來製造可信誘餌的策略。這種方法與不斷演變的其他網路犯罪策略相似，包括GreedyBear等團夥使用的策略，他們利用AI生成的代碼和“擴展掏空”技術——即合法擴展隨後被惡意代碼更新——來瞄準高流量錢包。這些攻擊的財務機制涉及直接竊取敏感的錢包數據，如助記詞和私鑰，這直接使攻擊者能夠耗盡受損的加密貨幣持有量。這種持續的威脅凸顯了Web3生態系統對強大、多層安全實踐的迫切需求，這不僅包括個人用戶的警惕性，還包括平臺和開發者的持續代碼審計、實時監控和主動事件響應。由於錢包受損導致被盜資產數量巨大，這表明攻擊者正日益關注最薄弱的環節：用戶的終端和他們對敏感憑證的處理。