SlowMist
SlowMist|2026年02月03日 03:27
威胁情报|令牌验证钓鱼中毒分析 最近,@ChainbaseHQ检测到一个伪装成“审计/合规确认”的钓鱼电子邮件活动,并将经过消毒的样本分享给了慢雾团队。我们共同分析了这场活动,并确认它是一场高度针对性的macOS攻击,结合了社会工程+多阶段无文件恶意软件。 攻击者通过要求受害者“确认公司的合法英文名称”来引诱受害者,然后发送标题为“2025财年外部审计”或“代币归属确认-截止日期”的电子邮件,发送恶意的Word/PDF附件。一旦打开,受害者将逐步被引导自己执行攻击。 我们分析的主要发现: 附件使用双扩展名(例如Confirmation_Token_Westing.docx.scpt)——它看起来像docx,但实际上是AppleScript 该脚本伪造macOS更新/修复屏幕以降低怀疑 它通过逼真的系统弹出窗口窃取系统密码,并在泄露之前在本地验证密码 它试图绕过macOS TCC保护,悄悄地授予自己访问文件、屏幕录制、键盘事件、相机等的权限。 部署了一个Node.js后门,支持远程命令执行和动态有效载荷传递 基础设施依赖于与更广泛的恶意集群绑定的一次性域(例如sevrhost[.]com) ⚠️ 这不是一个简单的信息窃取者——它是一个完整的入侵链,滥用合法的系统工具、内存驻留阶段和动态交付的代码,使检测比传统的恶意软件更难。 ️ 如果您打开了附件或输入了系统密码:立即断开与网络的连接,重置macOS TCC权限,并检查可疑的AppleScript/Node.js进程。 完整的技术故障和IOC如下: https://slowmist.media.com/威胁智能-令牌测试分析-钓鱼-中毒-50f39f5b9718
+6
曾提及
分享至:

脉络

热门快讯

APP下载

X

Telegram

Facebook

Reddit

复制链接

热门阅读