Uma nova campanha conduzida por um agente de ameaça até então não documentado tem mirado organizações de criptomoedas com o objetivo de facilitar o roubo de ativos digitais.
Para isso, os atacantes recorrem a engenharia social com temática de recrutamento e a malware desenvolvido sob medida para macOS.
Segundo os pesquisadores da Wiz Shira Ayal, Eden Abergil, Andre Maccarone, Yuval Dan e Benjamin Read, “essas campanhas exploraram técnicas sofisticadas de engenharia social, malware personalizado para macOS e direcionamento preciso de infraestrutura de CI/CD”.
“Os métodos usados permitiram que o agente de ameaça se movesse lateralmente de laptops de funcionários comprometidos para sistemas de distribuição de código e infraestrutura de desenvolvimento.”
A empresa de segurança em cloud da Google está acompanhando a atividade sob o nome JINX-0164.
A avaliação é de que o agente de ameaça está ativo desde, pelo menos, meados de 2025 e é movido por ganho financeiro, mirando desenvolvedores por meio de técnicas de recrutamento e outras formas de engenharia social para desviar criptomoedas.
Em pelo menos um caso, o adversário teria realizado um ataque à supply chain.
Na cadeia de ataque documentada pela Wiz, o JINX-0164 foi visto usando perfis confiáveis no LinkedIn para abordar vítimas e oferecer uma reunião virtual.
O convite é elaborado para direcionar o alvo a um domínio fraudulento que se apresenta como um provedor de teleconferência.
A partir daí, as vítimas são induzidas a baixar e instalar o programa.
Isso aciona a obtenção de um infostealer para macOS baseado em Python e de um trojan de acesso remoto codinome AUDIOFIX, usando um script bash hospedado em um domínio falso de distribuição de drivers, “apple.driver-store[.]com”.
Segundo a Wiz, “o script [bash] baixou um payload compatível com a arquitetura a partir do mesmo domínio, com suporte tanto para sistemas Intel quanto para Apple Silicon.
O payload se disfarçava de driver de áudio do sistema chamado coreaudiod, foi salvo como ChromeUpdater e executado via launchctl”.
Em seguida, o malware em Python é usado para roubar dados sensíveis do endpoint comprometido, mover-se lateralmente para sistemas internos de distribuição de código e infraestrutura de desenvolvimento por meio da injeção do payload AUDIOFIX e modificar o código-fonte na tentativa de comprometer outros endpoints e roubar credenciais de carteiras de criptomoedas.
Os dados capturados incluem credenciais de gerenciadores de senhas, navegadores e arquivos do iCloud Keychain; credenciais de administrador local; chaves SSH; arquivos de configuração; arquivos de histórico do console; informações de extensões de navegador de criptomoedas; endereços de carteiras de criptomoedas; e sessões ativas do Discord, Slack e Telegram.
Além do roubo de informações, o AUDIOFIX oferece vários comandos que permitem reconhecimento manual, exfiltração, execução arbitrária de comandos shell, exclusão de arquivos e obtenção de payloads de um servidor externo.
O JINX-0164 também foi observado mirando desenvolvedores de software ao se passar por recrutadores, usando a mesma técnica de engenharia social: a vaga de emprego serve para marcar uma reunião que exibe um falso erro técnico e orienta a vítima a baixar uma “correção” que leva à instalação do malware.
Outro componente importante do arsenal do agente de ameaça é o MiniRAT, um backdoor em Go que já foi distribuído por meio de uma versão comprometida de um pacote npm chamado @velora-dex/sdk, um kit de ferramentas legítimo de DeFi usado para trocas de token, ordens limitadas e trading delta na plataforma de exchange descentralizada VeloraDEX.
Segundo detalhes divulgados pela SafeDep e pela StepSecurity no mês passado, a versão contaminada baixava um script shell de um servidor remoto, que então entregava um binário específico para macOS chamado MiniRAT.
O malware é capaz de enviar arquivos, executar comandos shell arbitrários e buscar payloads ou ferramentas adicionais em domínios controlados pelos atacantes.
Vale destacar que alguns aspectos da campanha, somados ao uso de serviços de VPN como Astrill VPN e ao foco em criptomoedas e desenvolvedores, lembram táticas usadas por vários grupos de ameaça ligados à Coreia do Norte, como BlueNoroff, Contagious Interview e UNC1069.
No entanto, a Wiz afirmou que, até o momento, não há sobreposição de infraestrutura que conecte o JINX-0164 a Pyongyang.
“Da mesma forma, os tipos de domínios de falsificação são semelhantes aos usados por outros atores norte-coreanos; no entanto, a infraestrutura do JINX-0164 não apresenta sobreposição com outros grupos norte-coreanos acompanhados publicamente”, disse a Wiz.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...