慢雾科技发现AMOS变种“Odyssey”利用虚假AI工具进行加密货币盗窃

慢雾科技首席信息安全官23pds报告称，AMOS木马变种“Odyssey”正通过虚假AI工具广告窃取加密货币钱包信息，凸显了重大的安全风险。

执行摘要

9月18日，慢雾科技首席信息安全官23pds透露，Odyssey，一个AMOS信息窃取木马的变种，正积极瞄准加密货币用户。这种恶意软件通过Twitter等平台上的虚假人工智能（AI）工具广告传播，诱骗个人下载伪装成合法AI客户端应用程序的恶意软件。一旦安装，Odyssey旨在窃取敏感数据，包括加密货币钱包信息、系统详情和浏览器数据。

事件详情

Odyssey是一种复杂的恶意软件，利用AppleScript作为其主要有效载荷来执行数据窃取。攻击向量依赖于社会工程学，利用AI工具的普及性来分发恶意软件。遇到这些欺诈性广告的用户会被提示下载看似合法的AI客户端软件。然而，下载的应用程序是恶意的，专门设计用于窃取敏感信息。这包括来自基于浏览器的加密货币钱包（如MetaMask、Trust Wallet、Phantom、Exodus、Coinbase Wallet和Ledger Live）的私钥和助记词，以及一般系统和浏览器数据。AMOS恶意软件的早期版本，包括那些冒充Ledger应用程序的版本，已经证明能够通过使用欺骗性文件和网络钓鱼界面窃取24个单词的助记词来绕过Apple的Gatekeeper等安全措施。

市场影响

Odyssey变种的出现，凸显了加密货币领域内一个关键且不断演变的安全威胁格局。这种直接的钱包入侵大大助长了数字资产生态系统中不断升级的金融损失。CertiK的数据显示，2025年上半年约有24.7亿美元的加密货币被盗，超过了2024年全年的总损失。钱包入侵被认为是代价最高的攻击向量，2025年上半年在34起事件中造成了17亿美元的损失，这主要由少数高影响事件驱动。像Odyssey这样专门针对钱包凭证的复杂木马的持续扩散，直接加剧了这一趋势，侵蚀了用户信任，并对个人资产安全构成了系统性风险。

专家评论

慢雾科技首席信息安全官23pds明确警告用户要对这些威胁保持警惕。安全专家建议极端谨慎，敦促个人避免从非官方渠道下载任何AI工具或加密货币相关软件。建议定期对设备进行安全检查。正如慢雾科技首席信息安全官山崎就ModStealer等其他恶意软件所强调的，更广泛的专家共识强调了跨平台和隐蔽数据窃取者对数字资产生态系统构成的严峻威胁。一般的安全建议包括：仅从官方商店下载钱包扩展，在安装前验证软件发布者，以及尽可能启用多因素身份验证（MFA）。

更广泛的背景与业务策略

Odyssey变种所采用的攻击方法反映了攻击者利用流行技术趋势（如AI）来制造可信诱饵的策略。这种方法与不断演变的其他网络犯罪策略相似，包括GreedyBear等团伙使用的策略，他们利用AI生成的代码和“扩展掏空”技术——即合法扩展随后被恶意代码更新——来瞄准高流量钱包。这些攻击的财务机制涉及直接窃取敏感的钱包数据，如助记词和私钥，这直接使攻击者能够耗尽受损的加密货币持有量。这种持续的威胁凸显了Web3生态系统对强大、多层安全实践的迫切需求，这不仅包括个人用户的警惕性，还包括平台和开发者的持续代码审计、实时监控和主动事件响应。由于钱包受损导致被盗资产数量巨大，这表明攻击者正日益关注最薄弱的环节：用户的终端和他们对敏感凭证的处理。