警惕新的合规邮件利用 Word/PDF 文件窃取敏感数据
- 2026-04-02 11:04:39
警惕新的合规邮件利用 Word/PDF 文件窃取敏感数据请点击上方蓝色的【#公众号信安社群#】微信公众号一键关注! 
一个针对 macOS 用户的复杂钓鱼活动已经浮现,利用虚假的合规邮件作为高级恶意软件的传播手段。 Chainbase Lab 最近发现了这一活动,它冒充了合法的审计和合规通知以欺骗用户。 该攻击链结合了社会工程技术和多阶段无文件载荷,旨在窃取凭证并在受害者机器上建立持久的远程访问。 攻击者首先要求用户确认公司法定名称,然后发送声称来自财务审计师或代币归属管理员的消息,并附带恶意附件。 攻击通过精心策划的步骤展开,诱使用户打开武器化文件。最初的邮件要求收件人提供基本的公司信息,在第二波邮件到来前建立信任。 当受害者回应时,攻击者会发送后续邮件,主题包括“2025财年外部审计”或“代币归属确认”截止日期。 这些消息包含伪装成 Word 或 PDF 文件的附件,实际上是用双副名隐藏真实身份的 AppleScript 文件。 SlowMist 分析师发现,该恶意软件采用多阶段感染过程,初始 AppleScript 文件作为下载和执行额外恶意代码的入口。 SlowMist 研究人员指出,该恶意软件的主要感染途径使用名为“Confirmation_Token_Vesting.docx.scpt”的文件,该文件看似合法,但实际上是脚本执行。 第一阶段的 AppleScript 会打开虚假的系统设置窗口,显示软件更新进度条,分散用户注意力,同时在后台运行恶意代码。 该脚本收集包括 CPU 架构和 macOS 版本在内的系统信息,然后从可疑域 sevrrhst[.]下载额外的有效载荷[.]com。 该恶意软件的侦测规避很大程度上依赖于显示逼真的系统权限对话框,这些对话框冒充了 macOS 的安全警报。 这些假提示包含了谷歌头像元素,以伪装成合法用户,诱使用户输入管理员密码。 输入密码后,脚本会对系统进行验证,并立即使用 Base64 编码将凭证泄露到远程服务器。 除了凭证盗窃外,该恶意软件还试图绕过 macOS TCC 保护,直接将 SQL 语句注入隐私数据库,悄无声息地赋予自己摄像头访问、屏幕录制权限和键盘监控功能。 这种持久化机制使攻击者能够长期访问,并通过在被攻破机器上建立的 Node.js 运行时环境中执行任意命令。 支持该活动的基础设施使用了 2026 年 1 月底注册的一次性域名,指令服务器位于 sevrrhst[.]com 解析为 IP 88.119.171.59,托管十多个类似的恶意域名,用于基础设施重用。
本文来自网友投稿或网络内容,如有侵犯您的权益请联系我们删除,联系邮箱:wyl860211@qq.com 。
