Mới đây, Chainbase Labs đã phát hiện và thu giữ một chiến dịch email Phishing được ngụy trang dưới dạng "xác nhận kiểm toán /tuân thủ", và đã chia sẻ mẫu email độc hại đã được ẩn danh với đội ngũ bảo mật SlowMist . Hai bên đã cùng nhau điều tra và phân tích mẫu email độc hại này.
Tác giả: Yao
Biên tập viên: 77
bối cảnh
Mới đây, Chainbase Labs đã phát hiện và thu giữ một chiến dịch email Phishing được ngụy trang dưới dạng "xác nhận kiểm toán /tuân thủ", và đã chia sẻ mẫu email độc hại đã được ẩn danh với đội ngũ bảo mật SlowMist . Hai bên đã cùng nhau điều tra và phân tích mẫu email độc hại này.
Kẻ tấn công trước tiên lừa người nhận trả lời bằng yêu cầu "xác nhận tên tiếng Anh hợp pháp của công ty", sau đó tiếp tục bằng các cụm từ như " kiểm toán bên ngoài năm tài chính 2025" và "Hạn chót xác nhận phân bổ token", đồng thời gửi các tệp đính kèm Word/PDF độc hại. Thông qua kỹ thuật xã hội, chúng dụ dỗ nạn nhân mở tệp đính kèm và làm theo hướng dẫn, từ đó đánh cắp thông tin đăng nhập hoặc dữ liệu nhạy cảm.
Phân tích Trojan
Chiến dịch tấn công bị ghi lại lần là một cuộc tấn công có chủ đích vào nền tảng macOS, kết hợp kỹ thuật xã hội với các payload không cần file nhiều cấp độ (một số giai đoạn chủ yếu tồn tại dưới dạng thực thi bộ nhớ/file tạm thời). Kẻ tấn công đã sử dụng logic việc kinh doanh hấp dẫn của "tuân thủ kiểm toán " làm điểm xâm nhập ban đầu, sử dụng một kịch bản AppleScript được ngụy trang, và cố gắng giành được quyền hệ thống/quyền riêng tư cao hơn thông qua việc giả mạo ủy quyền và bỏ qua TCC, cuối cùng xây dựng một hoàn cảnh điều khiển từ xa dựa trên Node.js trên máy của nạn nhân.
Dựa trên đặc điểm của tệp mẫu, tệp đính kèm email có tên là "Confirmation_Token_Vesting.docx.scpt", thực chất là một tập lệnh AppleScript (.scpt) được ngụy trang thành tài liệu docx bằng cách sử dụng mở rộng kép.
Giải mã nội dung kịch bản cho thấy rằng AppleScript giai đoạn đầu (ban đầu) chủ yếu được sử dụng để phát tán mã độc hại tiếp theo.
1. Mở trang cài đặt hệ thống macOS và chuyển sang "Cập nhật phần mềm" để đánh lừa người dùng tin rằng hệ thống đang được cập nhật/sửa chữa phần mềm.
2. Thu thập thông tin hệ thống, chẳng hạn như kiến trúc CPU (Intel/Apple Silicon), số phiên bản macOS, ngôn ngữ hệ thống, v.v., và gửi thông tin đó đến máy chủ để máy chủ có thể quyết định loại dữ liệu cần gửi.
3. Tải xuống và thực thi tập lệnh từ tên miền đáng ngờ sevrrhst[.]com, sau đó xóa dấu vết.
Sau khi giải mã và phân tích đoạn mã đã tải xuống, người ta xác nhận đó là một AppleScript độc hại có khả năng đánh cắp thông tin, vượt qua quyền truy cập và thực thi các lệnh từ xa.
Các hành vi chính của các kịch bản độc hại:
1. Thanh tiến độ giả
Đầu tiên, đoạn mã sẽ hiển thị một cửa sổ thanh tiến trình ngụy tạo, cho thấy nó đang "khắc phục sự cố cập nhật hệ thống" hoặc "giải quyết sự cố trình xem tài liệu".
2. Phishing câu nổi
Trong quá trình thanh tiến trình thực thi, một hộp thoại nhập quyền/mật khẩu hệ thống rất chân thực sẽ hiện lên (được ngụy trang dưới dạng hộp thoại cài đặt hệ thống, với giao diện bao gồm các yếu tố hình đại diện của Google):
Đánh cắp mật khẩu: Khi người dùng nhập mật khẩu và nhấn"OK", tập lệnh sẽ gọi lệnh dscl để xác minh xem mật khẩu có đúng hay không.
Trở lại máy chủ: Sau khi xác thực mật khẩu thành công, hệ thống sẽ ngay lập tức sử dụng curl để mã hóa tên người dùng và mật khẩu đã thu thập được dưới dạng Base64 và gửi chúng trở lại máy chủ sevrrhst[.]com.
3. Vượt qua các hạn chế của TCC
Đoạn mã này cố gắng sửa đổi cơ sở dữ liệu quyền riêng tư TCC (Transparency, Consent, and Control) của macOS.
Tấn công giả mạo mục lục: Tấn công này nhằm mục đích vượt qua các cơ chế bảo vệ hệ thống bằng cách đổi tên mục lục liên quan đến cơ sở dữ liệu TCC (com.apple.TCC).
Ủy quyền ngầm: Nó trực tiếp chèn các câu lệnh SQL vào cơ sở dữ liệu, tự cấp cho mình (và Bash, terminal và trình soạn thảo tập lệnh) các quyền sau mà người dùng không hề hay biết:
Quyền truy cập tập tin: Thư mục tải xuống, tài liệu, màn hình nền, ổ đĩa ngoài, v.v.
Quyền riêng tư/Kiểm soát: Camera, ghi màn hình, theo dõi sự kiện bàn phím, các tính năng hỗ trợ tiếp cận, v.v.
4. Tiếp tục thiết lập kênh cửa sau để tải xuống dữ liệu crypto có tên "origin", giải mã và thực thi nó. Thiết lập kênh liên lạc với máy chủ để nhận các lệnh từ xa và cho phép Bash thực thi chúng.
Sau khi chuẩn bị hoàn cảnh Node.js, hãy thực hiện một yêu cầu khác (req=skip) để tải xuống tập lệnh lõi index.js và khởi chạy ứng dụng.
Tệp index.js thu thập và báo cáo thông tin như phiên bản hệ thống, CPU, ổ đĩa, mạng và các tiến trình; sau đó máy chủ sẽ tạo ra mã kịch bản mới dựa trên thông tin này, mã này được thực thi động bởi mẫu thông qua hàm eval, do đó cho phép mở rộng liên tục.
Phân tích tên miền độc hại
Theo các truy vấn từ nền tảng tình báo mối đe dọa, tên tên miền sevrrhst[.]com được đăng ký vào ngày 23 tháng 1 năm 2026, sử dụng chứng chỉ miễn phí, chi phí thấp, thể hiện các đặc điểm "loại bỏ nhanh" điển hình. Độ phân giải DNS của nó được liên kết với địa chỉ IP "88.119.171.59".
Điều tra thêm cho thấy địa chỉ IP này có liên quan đến hơn 10 tên miền độc hại tương tự, bao gồm tattomc[.]com và stomcs[.]com.
Tóm tắt
Mẫu này không phải là một công cụ đánh cắp thông tin đơn lẻ, mà là một Chuỗi xâm nhập nhiều giai đoạn: đầu tiên, nó sử dụng AppleScript để gây ra tương tác và đánh cắp thông tin đăng nhập/cố gắng leo thang đặc quyền, sau đó nó sử dụng Node.js (index.js) để xây dựng một khung thực thi điều khiển từ xa có mở rộng động. Đặc điểm của nó là "lạm dụng các công cụ hợp pháp + phân phối/thực thi mã động", khiến nó khó bị phát hiện bởi các chiến lược dựa trên các đặc điểm tĩnh.
gợi ý:
1. Nếu bạn vô tình nhấp vào tệp đính kèm/tập lệnh email và thực thi nó (hoặc đã nhập mật khẩu hệ thống của mình), vui lòng ngắt kết nối khỏi mạng ngay lập tức; chỉ tiếp tục các hành động tiếp theo sau khi hoàn tất việc thu thập bằng chứng, cách ly và sao lưu/chuyển tài sản quan trọng.
2. Người dùng bị nhiễm sẽ thực thi lệnh `tccutil reset All` để xóa cơ sở dữ liệu TCC và loại bỏ quyền truy cập mà Trojan đã chiếm đoạt bất hợp pháp.
3. Dọn dẹp các tiến trình chương trình độc hại và chấm dứt các tiến trình Node.js độc hại trong mục lục ẩn.
Giới thiệu về Chainbase Labs
Chainbase Labs đang định nghĩa lại dữ liệu, biến nó thành một tài sản tài chính thực sự quan trọng trong kỷ nguyên AI. Bằng cách xây dựng một mạng lưới siêu dữ liệu, Chainbase chuyển đổi các tín hiệu khác nhau rải rác trên Chuỗi thành dữ liệu có cấu trúc, có thể kiểm chứng, giúp các mô hình AI, các tác nhân tự động và nhiều ứng dụng phi tập trung khác có thể sử dụng trực tiếp.
Tính đến nay, mạng lưới Chainbase bao phủ hơn 200 blockchain, đã xử lý hơn 500 lần yêu cầu dữ liệu và hỗ trợ cộng đồng hơn 35.000 nhà phát triển. Hiện tại, hơn 10.000 dự án đang sử dụng Chainbase, với các ứng dụng trải rộng trên nhiều lĩnh vực, bao gồm cơ sở hạ tầng bảo mật, Block Explorer L2, giao thức tác nhân thông minh và phân tích dữ liệu Chuỗi .
IOC
Tên tệp: Confirmation_Token_Vesting.docx.scpt
SHA256:
3e4d35903c51db3da8d4bd77491b5c181b7361aaf152609d03a1e2bb86faee43
Tên tệp: env_arm.zip
SHA256:
f9e0376114c57d659025ceb46f1ef48aa80b8af5909b2de0cf80e88040fef345
Tên tệp: index.js
SHA256:
0f1e457488fe799dee7ace7e1bc2df4c1793245f334a4298035652ebeb249414
URL:
https://sevrrhst[.]com/css/controller.php
https://sevrrhst[.]com/inc/register.php
C2: sevrrhst[.]com
Địa chỉ IP: 88.119.171.59
Tuyên bố miễn trừ trách nhiệm: Là blockchain, các bài viết được đăng tải trên trang web này chỉ thể hiện quan điểm cá nhân của tác giả và khách mời và không phản ánh lập trường của Web3Caff. Thông tin trong các bài viết chỉ mang tham khảo và không cấu thành bất kỳ lời khuyên hoặc đề nghị đầu tư nào. Vui lòng tuân thủ các luật và quy định hiện hành của quốc gia hoặc khu vực của bạn.
Chào mừng bạn đến với cộng đồng chính thức của Web3Caff : Tài khoản Twitter | Tài khoản Twitter nghiên cứu của Web3Caff | Nhóm độc giả WeChat | Tài khoản chính thức WeChat
