文章总结： ChainbaseLab与SlowMist披露针对macOS的钓鱼活动，利用伪装成文档的AppleScript附件实施攻击。该攻击通过虚假更新与提示窃取管理员密码，并利用SQL注入绕过TCC保护获取摄像头及键盘权限，建立Node.js环境实现持久化控制，涉及C2域名sevrrhst[.]com。 综合评分： 86 文章分类： 威胁情报,恶意软件,社会工程学

警惕新型合规邮件利用 Word/PDF 文件窃取敏感数据

原创

ZM ZM

暗镜

2026年2月5日 06:02 北京

一种针对 macOS 用户的复杂网络钓鱼活动已经出现，该活动使用虚假的合规电子邮件作为传播高级恶意软件的手段。

Chainbase Lab 最近检测到了这一活动，该活动冒充合法的审计和合规通知来欺骗用户。

该攻击链结合了社会工程学和多阶段无文件有效载荷，旨在窃取凭据并在受害者机器上建立持久远程访问权限。

攻击者首先要求用户确认其公司的法定名称，然后发送声称来自财务审计员或代币归属管理员的消息，并附上恶意附件。

攻击过程经过精心策划，诱骗用户打开恶意文档。最初的几封邮件会要求收件人提供公司基本信息，以此建立信任，为第二波攻击做好准备。

当受害者做出回应时，攻击者会发送后续消息，主题行中会提及“2025 财年外部审计”或“代币归属确认”截止日期。

这些邮件包含伪装成 Word 或 PDF 文件的附件，但实际上是使用双重扩展名来隐藏其真实性质的 AppleScript 文件。

SlowMist 的分析师发现，该恶意软件采用多阶段感染过程，初始 AppleScript 文件作为入口点，用于下载和执行其他恶意代码。

SlowMist 的研究人员指出，该恶意软件的主要感染途径使用名为“Confirmation_Token_Vesting.docx.scpt”的文件，该文件看起来合法，但实际上是作为脚本执行的。

第一阶段的 AppleScript 会打开虚假的系统设置窗口，显示软件更新进度条，以分散用户的注意力，同时在后台运行恶意代码。

该脚本收集系统信息，包括 CPU 架构和 macOS 版本，然后从可疑域 sevrrhst[.]com 下载其他有效载荷。

通过虚假系统提示规避欺骗

该恶意软件的

这些虚假提示融入了谷歌头像元素，使其看起来很合法，诱骗用户输入管理员密码。

一旦输入密码，脚本就会根据系统验证密码，并立即使用 Base64 编码将凭据泄露到远程服务器。

除了窃取凭证之外，该恶意软件还试图通过将 SQL 语句直接注入隐私数据库来绕过 macOS TCC 保护，从而悄悄地授予自己摄像头访问权限、屏幕录制权限和键盘监控功能。

这种持久化机制允许攻击者通过建立在受感染机器上的 Node.js 运行时环境来维持长期访问权限并执行任意命令。

支持此次活动的架构使用了 2026 年 1 月下旬注册的一次性域名，命令服务器 sevrrhst[.]com 解析到 IP 地址 88.119.171.59，该 IP 地址托管了十多个类似的恶意域名，用于架构重用。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《警惕新型合规邮件利用 Word/PDF 文件窃取敏感数据》