SlowMist|2026年02月03日 03:27
威胁情报|令牌验证钓鱼中毒分析
最近,@ChainbaseHQ检测到一个伪装成“审计/合规确认”的钓鱼电子邮件活动,并将经过消毒的样本分享给了慢雾团队。我们共同分析了这场活动,并确认它是一场高度针对性的macOS攻击,结合了社会工程+多阶段无文件恶意软件。
攻击者通过要求受害者“确认公司的合法英文名称”来引诱受害者,然后发送标题为“2025财年外部审计”或“代币归属确认-截止日期”的电子邮件,发送恶意的Word/PDF附件。一旦打开,受害者将逐步被引导自己执行攻击。
我们分析的主要发现:
附件使用双扩展名(例如Confirmation_Token_Westing.docx.scpt)——它看起来像docx,但实际上是AppleScript
该脚本伪造macOS更新/修复屏幕以降低怀疑
它通过逼真的系统弹出窗口窃取系统密码,并在泄露之前在本地验证密码
它试图绕过macOS TCC保护,悄悄地授予自己访问文件、屏幕录制、键盘事件、相机等的权限。
部署了一个Node.js后门,支持远程命令执行和动态有效载荷传递
基础设施依赖于与更广泛的恶意集群绑定的一次性域(例如sevrhost[.]com)
⚠️ 这不是一个简单的信息窃取者——它是一个完整的入侵链,滥用合法的系统工具、内存驻留阶段和动态交付的代码,使检测比传统的恶意软件更难。
️ 如果您打开了附件或输入了系统密码:立即断开与网络的连接,重置macOS TCC权限,并检查可疑的AppleScript/Node.js进程。
完整的技术故障和IOC如下:
https://slowmist.media.com/威胁智能-令牌测试分析-钓鱼-中毒-50f39f5b9718
分享至:
脉络
热门快讯
APP下载
X
Telegram
复制链接