威脅情報：Token Vesting 釣魚投毒分析

近日，Chainbase 實驗室監測並捕獲到一起偽裝為 “審計/合規確認” 的釣魚郵件活動，並將相關惡意樣本脫敏後同步給慢霧安全團隊，雙方聯合對該惡意樣本開展調查與分析。

作者：Yao

編輯：77

背景

近日，Chainbase 實驗室監測並捕獲到一起偽裝為 “審計/合規確認” 的釣魚郵件活動，並將相關惡意樣本脫敏後同步給慢霧安全團隊，雙方聯合對該惡意樣本開展調查與分析。

攻擊者先以 “確認公司英文法定名稱” 誘導收件人回覆，隨後以 “FY2025 外部審計”、“Token Vesting Confirmation 截止回傳” 等話術持續跟進，並投遞惡意的 Word/PDF 附件。通過社會工程誘導受害者打開附件並按提示操作，從而竊取憑據或敏感數據。

木馬分析

本次捕獲的攻擊活動是一場針對 macOS 平臺、結合了社會工程學與多級無文件載荷（部分階段主要以內存執行/臨時文件形式存在）的定向攻擊。攻擊者利用 “審計合規” 這一誘導性的業務邏輯，通過偽裝的 AppleScript 腳本作為初始入口，並嘗試通過誘導授權與 TCC 繞過獲得更高的系統/隱私權限，最終在受害者機器上構建了一個基於 Node.js 的遠程控制環境。

從樣本文件特徵來看，郵件附件名為 “Confirmation_Token_Vesting.docx.scpt”，實際為 AppleScript 腳本 (.scpt)，通過雙擴展名偽裝為 docx 文檔。

對腳本內容解碼後發現，第一階段（初始）AppleScript 主要用於下發後續惡意代碼。

1. 打開 macOS 的系統設置頁面並切到 “軟件更新”，引導用戶誤以為系統正在進行軟件更新/修復。

2. 收集系統信息，讀取 CPU 架構 (Intel/Apple Silicon)、macOS 版本號、系統語言等並將信息發送至服務端，以便服務器決定下發何種載荷 (payload)。

3. 從可疑域名 sevrrhst[.]com 下載並執行腳本，隨後清理痕跡。

對下載腳本解碼分析後確認其為惡意 AppleScript，具備信息竊取、權限繞過與遠程命令執行能力。

惡意腳本的主要行為：

1. 虛假進度條

腳本首先會彈出一個偽造的進度條窗口，顯示正在 “修復系統更新問題” 或 “解決文檔查看器問題”。

2. 釣魚彈窗

在進度條運行期間，它會彈出高度仿真的系統權限/密碼輸入對話框（偽裝成系統設置提示，界面包含 Google 頭像元素）：

竊取密碼：當用戶輸入密碼並點擊 “OK” 時，腳本會調用 dscl 命令驗證密碼是否正確。

回傳服務器：一旦密碼驗證通過，它會立即通過 curl 將收集到的用戶名與密碼進行 Base64 編碼後回傳至服務器 sevrrhst[.]com。

3. 繞過 TCC 限制

腳本試圖修改 macOS 的 TCC (Transparency, Consent, and Control) 隱私數據庫：

目錄欺騙：它嘗試通過重命名 TCC 數據庫相關目錄 (com.apple.TCC) 來規避系統保護機制。

靜默授權：它直接向數據庫注入 SQL 語句，在用戶無感知的情況下，為自己（以及 Bash、終端、腳本編輯器）開啟以下權限：

文件訪問權限：下載文件夾、文檔、桌面、外接磁盤等。

隱私/控制權限：攝像頭、屏幕錄製、鍵盤事件監聽、輔助功能等。

4. 繼續建立後門通道下載名為 origin 的加密數據並解碼落地執行。建立與服務器的通信通道，接收遠程命令並交由 Bash 執行。

準備 Node.js 環境後再次請求 (req=skip) 拉取核心腳本 index.js 並啟動。

index.js 收集系統版本、CPU、磁盤、網絡與進程等信息並上報；服務端據此下發新的腳本代碼，由樣本通過 eval 動態執行，從而具備持續擴展能力。

惡意域名分析

從威脅情報平臺查詢顯示，該域名 sevrrhst[.]com 註冊於 2026 年 1 月 23 日，使用低成本的免費證書，具有典型的 “快速拋棄” 特徵。其解析關聯到 IP 地址為 “88.119.171.59”。

進一步查詢發現該 IP 關聯到了 tattomc[.]com、stomcs[.]com 等 10 個以上相似惡意域名。

總結

該樣本並非單一的信息竊取器，而是一條分階段的滲透鏈路：先以 AppleScript 誘導交互並竊取憑據/嘗試提升權限，再借助 Node.js (index.js) 建立可動態擴展的遠控執行框架。其特點是” 合法工具被濫用 + 動態代碼下發/執行”，對依賴靜態特徵的檢測策略不友好。

建議:

1. 若誤點郵件附件/腳本並已執行（或已輸入系統密碼），請立即斷開網絡連接；在完成取證、隔離與關鍵資產備份/轉移後，再開展後續處置。

2. 中招用戶執行 tccutil reset All 清空 TCC 數據庫，移除木馬非法獲得的授權。

3. 清理惡意程序進程，結束隱藏目錄下的惡意 Node.js 進程。

關於 Chainbase 實驗室

Chainbase 實驗室正在重新定義數據，讓它成為 AI 時代真正重要的一類金融資產。通過構建超級數據網絡，Chainbase 把分散在鏈上的各種信號轉化為結構化、可驗證的數據，讓 AI 模型、自主智能體以及各類去中心化應用都能直接使用。

截至目前，Chainbase 網絡已經覆蓋 200 多條區塊鏈，累計處理超過 5000 億次數據請求，並支持著一個由 35,000 多名開發者組成的社區。目前已有超過 1 萬個項目在使用 Chainbase，應用場景十分廣泛，包括安全基礎設施、L2 區塊瀏覽器、智能體協議以及鏈上數據分析等多個方向。

IOC

filename: Confirmation_Token_Vesting.docx.scpt

SHA256:

3e4d35903c51db3da8d4bd77491b5c181b7361aaf152609d03a1e2bb86faee43

filename: env_arm.zip

SHA256:

f9e0376114c57d659025ceb46f1ef48aa80b8af5909b2de0cf80e88040fef345

filename: index.js

SHA256:

0f1e457488fe799dee7ace7e1bc2df4c1793245f334a4298035652ebeb249414

URL:

https://sevrrhst[.]com/css/controller.php