Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) Ator de Ameaça JINX-0164

Ator de Ameaça JINX-0164

Por Mezo em Ameaça Persistente Avançada (APT), Malware, Malware móvel
Traduzir Para:

Um grupo de ameaças cibernéticas até então desconhecido, identificado como JINX-0164, orquestrou uma campanha altamente direcionada contra organizações de criptomoedas, utilizando engenharia social com o tema de recrutamento e malware personalizado para macOS com o objetivo de roubar ativos digitais. Ativo desde pelo menos meados de 2025, o grupo, motivado por interesses financeiros, tem se concentrado principalmente em desenvolvedores e, em pelo menos um incidente confirmado, executou uma violação da cadeia de suprimentos de software.

A campanha demonstra uma combinação avançada de táticas enganosas de recrutamento, implantação de malware e infiltração profunda em ambientes de CI/CD. Ao comprometer as estações de trabalho dos funcionários, os atacantes conseguiram se movimentar lateralmente para a infraestrutura de desenvolvimento e os sistemas de distribuição de código, aumentando significativamente o alcance e o impacto das intrusões.

Golpes de recrutamento se tornam o ponto de entrada

O golpe JINX-0164 se baseia em perfis falsos do LinkedIn que convencem as vítimas a entrar em contato com desenvolvedores e funcionários de organizações relacionadas a criptomoedas. As vítimas são convidadas a participar de reuniões virtuais hospedadas em domínios fraudulentos que se fazem passar por plataformas legítimas de teleconferência.

Durante o processo de configuração da reunião falsa, as vítimas são instruídas a baixar o que parece ser um cliente de reunião ou uma correção técnica. Na realidade, o arquivo baixado inicia a cadeia de infecção ao obter um trojan de roubo de informações e acesso remoto para macOS baseado em Python, conhecido como AUDIOFIX, de um domínio de distribuição de drivers falsificado, 'apple.driver-store.com'.

O processo de infecção é facilitado por um script bash capaz de identificar a arquitetura do sistema da vítima, permitindo que o malware opere perfeitamente tanto em dispositivos macOS baseados em Intel quanto em Apple Silicon. O payload se disfarça de driver de áudio do sistema chamado 'coreaudiod', é armazenado localmente como 'ChromeUpdater' e é executado usando os mecanismos launchctl do macOS para manter a persistência.

AUDIOFIX Permite Comprometimento Profundo do Sistema

Uma vez implantado, o AUDIOFIX realiza extensas operações de roubo de credenciais e reconhecimento, além de permitir movimentação lateral na infraestrutura interna. Os pesquisadores observaram o malware sendo usado para injetar payloads maliciosos em sistemas de desenvolvimento e modificar o código-fonte em tentativas de comprometer endpoints adicionais e coletar credenciais de carteiras de criptomoedas.

O malware é capaz de roubar uma ampla gama de informações confidenciais, incluindo:

  • Credenciais do gerenciador de senhas, dados do navegador, arquivos do iCloud Keychain, chaves SSH, credenciais de administrador, registros do histórico do console e arquivos de configuração.
  • Endereços de carteiras de criptomoedas, dados de extensões de navegador vinculados a serviços de criptomoedas e sessões ativas do Discord, Slack e Telegram.

Além do roubo de informações, o AUDIOFIX também oferece suporte à execução remota de comandos, exclusão de arquivos, entrega de cargas maliciosas, atividades de reconhecimento e exfiltração de dados de sistemas infectados.

MiniRAT amplia a ameaça por meio do abuso da cadeia de suprimentos.

Outro componente importante da operação é o MiniRAT, um backdoor baseado em Go vinculado a um pacote npm comprometido chamado '@velora-dex/sdk'. O pacote estava associado a um conjunto de ferramentas legítimo de finanças descentralizadas usado para trocas de tokens, negociação delta e ordens limitadas na plataforma VeloraDEX.

A versão maliciosa do pacote obteve um script de shell de um servidor remoto, que acabou por implantar um binário MiniRAT específico para macOS. Uma vez instalado, o malware permitia que os atacantes carregassem arquivos, executassem comandos de shell arbitrários e baixassem cargas adicionais da infraestrutura controlada pelo atacante.

O grupo JINX-0164 tem reutilizado repetidamente táticas de engenharia social envolvendo falsas oportunidades de recrutamento e problemas técnicos fabricados, exigindo que as vítimas instalem correções de software fraudulentas. Essa metodologia consistente destaca a forte ênfase do grupo na manipulação humana como principal vetor de intrusão.

Possíveis ligações com operações cibernéticas norte-coreanas

Diversas características da campanha assemelham-se a atividades anteriormente associadas a grupos de ciberameaças norte-coreanos, como BlueNoroff, Contagious Interview e UNC1069. Os pesquisadores observaram similaridades nos padrões de segmentação, domínios falsificados e no uso de serviços de VPN, como o Astrill VPN.

Apesar dessas sobreposições, os investigadores não identificaram nenhuma ligação de infraestrutura confirmada que ligue o JINX-0164 diretamente a operações patrocinadas pelo Estado norte-coreano. As evidências atuais sugerem semelhanças operacionais, em vez de uma atribuição definitiva.

Tendendo

Mais visto

Carregando...