一种针对macOS用户的精密网络钓鱼活动近期出现,攻击者通过伪造合规邮件投递高级恶意软件。
Chainbase Lab最新监测到该攻击活动,攻击者冒充合法审计与合规通知诱骗用户。该攻击链结合社会工程学与多阶段无文件负载技术,旨在窃取凭据并在受害主机建立持久远程访问。
攻击者首先要求用户确认公司法定名称,随后冒充财务审计方或代币归属管理员发送含恶意附件的跟进邮件。整个攻击通过精心设计的步骤诱导用户打开武器化文档:初始邮件要求提供基础公司信息建立信任,再发送第二轮攻击。
当受害者回复后,攻击者会发送主题为"2025财年外部审计"或"代币归属确认"的后续邮件。这些邮件附件伪装成Word或PDF文件,实则为使用双重扩展名隐藏真实性质的AppleScript文件(如.docx.scpt)。
据慢雾安全分析师披露,该恶意软件采用多阶段感染流程:初始AppleScript文件作为下载执行后续恶意代码的入口点。攻击者使用名为"Confirmation_Token_Vesting.docx.scpt"的文件作为主要感染载体,该文件看似普通文档实则为可执行脚本。
第一阶段AppleScript会打开显示软件更新进度条的虚假系统设置窗口,在后台运行恶意代码时分散用户注意。脚本收集包括CPU架构和macOS版本的系统信息后,从可疑域名sevrrhst[.]com下载后续负载。
通过虚假系统提示进行欺骗规避该恶意软件的检测规避严重依赖仿冒macOS安全警报的逼真系统权限对话框。这些伪造提示融合谷歌头像元素增强可信度,诱骗用户输入管理员密码。
密码一旦输入,脚本会立即验证并通过Base64编码将凭据外传到远程服务器。除凭据窃取外,恶意软件还尝试通过直接向隐私数据库注入SQL语句,绕过macOS透明同意控制(TCC)保护,无声获取摄像头访问、屏幕录制权限及键盘监控能力。
这种持久化机制使攻击者能长期维持访问权限,并通过在受感染主机建立的Node.js运行环境执行任意命令。支撑该攻击活动的基础设施使用2026年1月下旬注册的临时域名,其中命令服务器sevrrhst[.]com解析至IP地址88.119.171.59,该IP托管了十余个用于基础设施复用的相似恶意域名。
10个月宝宝每天需要喝多少奶粉?
