Analistas da Moonlock Lab identificaram uma nova onda do Odyssey Stealer direcionada a macOS, com expansão rápida para múltiplos países, incluindo Brasil.
O que se observa
Onda recente do Odyssey Stealer mostra aumento súbito de amostras destinadas ao macOS. Inicialmente concentrada nos Estados Unidos, França e Espanha, a campanha ampliou em poucas horas sua pegada para Reino Unido, Alemanha, Itália, Canadá, Brasil, Índia e outros países da África e Ásia.
Vetor e técnicas de evasão
Os operadores usam vetores clássicos: atualizações falsas de software, apps fraudulentos e ferramentas “cracked” em sites duvidosos. O elemento mais preocupante é a utilização de builders automatizados que geram variantes polimórficas — cada amostra tem hash único apesar de comportamento idêntico — tornando assinaturas estáticas ineficazes.
Capacidades do malware
- Roubo de credenciais e cookies armazenados em navegadores como Chrome e Safari;
- Extração de chaves de carteiras cripto e dados de aplicações financeiras;
- Acesso ao Keychain do macOS quando permissões são obtidas, ampliando o alcance da coleta.
Impacto e riscos
Além do prejuízo financeiro direto (carteiras cripto drenadas), o Odyssey pode levar a roubo de identidade e comprometimento de contas usadas para acesso corporativo em macOS administrados. A automação da geração de amostras facilita campanhas em larga escala e dificulta a detecção por soluções que dependem apenas de reputação.
Contenção e mitigação
- Rejeitar aplicativos e atualizações de fontes não oficiais; adotar controles de aplicação (App Store/MDM) em ambientes corporativos;
- Habilitar proteções do macOS (Gatekeeper, XProtect) e integrar EDR com heurísticas comportamentais;
- Monitorar comportamento: processos que extraem Keychain, leitura massiva de perfis de navegador ou conexões a endpoints suspeitos devem gerar alertas;
- Orientar usuários sobre riscos de software pirata e instruir a não inserir senhas ou chaves em prompts suspeitos.
Limitações e observações
Os dados públicos da Moonlock Lab mostram forte telemetria geográfica, mas não listam amostras públicas em repositório aberto. Equipes de resposta devem correlacionar hashes observados internamente com IOC fornecidos por fornecedores de inteligência.
Por que o Brasil deve prestar atenção
A presença do Brasil entre os países com ocorrência recente indica que usuários e organizações brasileiras podem ser alvos, especialmente desenvolvedores e profissionais que utilizam macOS e que eventualmente baixam ferramentas fora de canais oficiais.
Fonte: Cyber Security News (relato baseado em Moonlock Lab)