Odyssey, Stealer

Odyssey Stealer: Neue Malware befĂ€llt macOS in ĂŒber 100 LĂ€ndern

Veröffentlicht: 11.07.2026 um 21:22 Uhr, Redaktion boerse-global.de

Die Schadsoftware Odyssey Stealer infiziert macOS-Systeme weltweit und stiehlt Browserdaten, Cloud-ZugÀnge sowie KryptowÀhrungen.

Odyssey Stealer: Neue macOS-Malware bedroht Krypto und Cloud-Daten
Leuchtendes, futuristisches digitales Schloss, umgeben von Datenströmen und KryptowĂ€hrungssymbolen, symbolisiert Cybersicherheitsbedrohungen und Datendiebstahl. Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de

Juli 2026 rasant und hat bereits Nutzer in ĂŒber 100 LĂ€ndern infiltriert. Die als Dienstleistung angebotene Malware zielt gezielt auf macOS-Systeme ab und stiehlt Browser-Zugangsdaten, Cloud-Konfigurationen und KryptowĂ€hrungsbestĂ€nde.

Perfide Masche: So trickst die Malware ihre Opfer aus

Sicherheitsexperten haben die Angriffsmethode entschlĂŒsselt. Odyssey Stealer setzt auf sogenannte „ClickFix"-Techniken – eine raffinierte Form des Social Engineerings. Die TĂ€ter locken ihre Opfer mit gefĂ€lschten CAPTCHA-Seiten oder fingierten Software-Updates. Der Clou: Die Nutzer werden aufgefordert, Befehle direkt im System-Terminal auszufĂŒhren und autorisieren so die Schadsoftware eigenhĂ€ndig.

Einmal gestartet, installiert der Stealer einen LaunchDaemon – ein Startskript, das fĂŒr dauerhafte PrĂ€senz auf dem infizierten GerĂ€t sorgt. Die Masche ist nicht neu: Bereits zwischen MĂ€rz und Mai dieses Jahres nutzten andere SchĂ€dlinge wie Atomic Stealer und NetSupport RAT Ă€hnliche Tricks.

Goldgrube Cloud und Krypto

Die Entwickler von Odyssey Stealer haben es auf besonders lukrative Daten abgesehen. Die Malware durchsucht Systeme nach 300 verschiedenen Browser-Erweiterungen fĂŒr KryptowĂ€hrungs-Wallets wie MetaMask und Phantom. Hinzu kommen 16 Desktop-Wallet-Anwendungen, darunter Ledger Live, Exodus und Trezor Suite.

Besonders perfide: In mehreren FĂ€llen ersetzte die Schadsoftware legitime Wallet-Programme durch manipulierte Versionen, um private SchlĂŒssel und Wiederherstellungsphrasen abzugreifen. Doch damit nicht genug – Odyssey Stealer spĂ€ht auch Konfigurationsdateien der großen Cloud-Anbieter aus: Amazon Web Services (AWS), Microsoft Azure und Google Cloud stehen ganz oben auf der Zielliste. SSH-SchlĂŒssel, Keychain-Zugangsdaten und Autofill-Informationen werden ebenfalls abgesaugt.

Anzeige

Angreifer nutzen immer raffiniertere Methoden, um sensible Unternehmensdaten aus Cloud-Umgebungen abzugreifen. Wie Sie SicherheitslĂŒcken proaktiv schließen und Ihre IT-Infrastruktur vor modernen Bedrohungen schĂŒtzen, erfahren Sie in diesem kostenlosen E-Book. Strategien gegen aktuelle Cyberrisiken jetzt kostenlos herunterladen

Die Sicherheitsforschung hat die Kommando- und Kontrollinfrastruktur (C2) identifiziert: Die IP-Adresse 165.245.215.18 sowie die Fallback-Domains rahtam.com und scubin.com stehen im Verdacht, die DatenabflĂŒsse zu steuern.

macOS im Fadenkreuz – SicherheitslĂŒcken als Einfallstor

Der Aufstieg von Odyssey Stealer fĂ€llt mit wachsenden Sicherheitsbedenken im macOS-Ökosystem zusammen. Eine am 10. Juli veröffentlichte technische Analyse identifizierte fĂŒnf kritische Schwachstellen, die in Unternehmensumgebungen hĂ€ufig ausgenutzt werden: Konfigurationsabweichungen, ungepatchte Hardware und isolierte Sicherheitstools, die gefĂ€hrliche LĂŒcken in der Überwachung hinterlassen.

Die Sicherheitsbranche reagiert. Am 30. Juni 2026 brachte Jamf ein KI-Governance-Tool fĂŒr Mac auf den Markt, gefolgt von einem speziellen Bedrohungsjagd-Team am 9. Juli. Diese Entwicklungen zeigen: macOS galt lange als weniger gefĂ€hrdet als Windows, doch das Blatt wendet sich.

Lieferketten-Angriffe im Gleichschritt

Odyssey Stealer ist kein Einzelfall. Die Tage vor dem Ausbruch waren von mehreren weiteren VorfĂ€llen ĂŒberschattet:

  • Injective Labs: Am 8. Juli 2026 wurde das GitHub-Repository des Unternehmens kompromittiert. Ein manipuliertes TypeScript-SDK stahl Wallet-Wiederherstellungsphrasen.
  • jscrambler: Nur einen Tag spĂ€ter erschien eine infizierte Version des Pakets (8.14.0) im npm-Register. Der enthaltene Rust-basierte Infostealer befĂ€llt Windows, macOS und Linux.
  • CanisterWorm: Auch dieser SchĂ€dling schleicht sich ĂŒber npm-Pakete ein und sammelt Tokens sowie API-SchlĂŒssel von Cloud-Diensten und CI/CD-Plattformen.
Anzeige

Vor allem die psychologische Manipulation der Mitarbeiter ist oft das schwĂ€chste Glied in der Sicherheitskette bei gezielten Angriffen. Ein neuer Gratis-Report enthĂŒllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie Sie Ihr Unternehmen in 4 Schritten effektiv schĂŒtzen. Anti-Phishing-Paket fĂŒr Unternehmen gratis anfordern

Schutzmaßnahmen fĂŒr betroffene Nutzer

Sicherheitsexperten raten zu erhöhter Vorsicht: FĂŒhren Sie niemals Terminal-Befehle aus, die von Webseiten stammen. ÜberprĂŒfen Sie die IntegritĂ€t aller KryptowĂ€hrungs-Software. Unternehmen sollten ungewöhnliche LaunchDaemon-Installationen ĂŒberwachen und auf DatenabflĂŒsse zu den bekannten Odyssey-C2-Servern achten. Die Zeiten, in denen Mac-Nutzer sich in falscher Sicherheit wiegen konnten, sind endgĂŒltig vorbei.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wissenschaft | 69747633 |