hu, 28 May 2026
← VoltarUma nova campanha tem como alvo empresas de criptomoeda que usam engenharia social e malware macOS personalizado para roubar ativos digitais.
Uma nova campanha orquestrada por um ator de ameaças anteriormente indocumentado teve como alvo organizações de criptomoedas com o objetivo de facilitar o roubo de ativos digitais usando engenharia social com tema de recrutamento e malware macOS personalizado. “Essas campanhas alavancaram técnicas sofisticadas de engenharia social, malware macOS personalizado e direcionamento profundo da infraestrutura de CI/CD”, disseram os pesquisadores da Wiz Shira Ayal, Eden Abergil, Andre Maccarone, Yuval Dan e Benjamin Read. “Os métodos usados permitiram que o agente da ameaça migrasse lateralmente de laptops de funcionários comprometidos para sistemas de distribuição de código e infraestrutura de desenvolvimento”. A empresa de segurança em nuvem de propriedade do Google está rastreando a atividade sob o nome JINX-0164.
O ator da ameaça é avaliado como ativo desde pelo menos meados de 2025 e motivado por ganhos financeiros, visando desenvolvedores por meio de técnicas de recrutamento e outras técnicas de engenharia social para desviar criptomoedas. Em pelo menos um caso, o adversário teria realizado um ataque à cadeia de abastecimento. Na cadeia de ataque documentada por Wiz, descobriu-se que o JINX-0164 aproveita perfis confiáveis do LinkedIn para abordar as vítimas e oferecer uma reunião virtual. O convite da reunião foi projetado para direcionar o alvo para um domínio não autorizado que se disfarça como um provedor de teleconferência.
A partir daí, as vítimas são enganadas para baixar e executar um arquivo malicioso disfarçado de cliente de reunião. Isso, por sua vez, aciona a recuperação de um infostealer macOS baseado em Python e um trojan de acesso remoto de codinome AUDIOFIX usando um script bash hospedado em um domínio de armazenamento de driver falso ("apple.driver-store[.]com"). “O script [bash] baixou uma carga útil com reconhecimento de arquitetura do mesmo domínio, compatível com os sistemas Intel e Apple Silicon. A carga se disfarça como um driver de áudio do sistema chamado coreaudiod, foi salva como ChromeUpdater e foi executada via launchctl”, disse Wiz.
O malware Python é então aproveitado para roubar dados confidenciais do endpoint comprometido, mover-se lateralmente para sistemas internos de distribuição de código e infraestrutura de desenvolvimento injetando a carga AUDIOFIX e modificar o código-fonte na tentativa de comprometer outros endpoints e roubar credenciais de carteira de criptomoeda. Os dados capturados incluem credenciais de gerenciadores de senhas, navegadores da web e arquivos do iCloud Keychain; credenciais de administrador local; Chaves SSH; arquivos de configuração; arquivos de histórico do console; informações sobre extensões de navegador de criptomoeda; endereços de carteiras de criptomoedas; e sessões ativas de Discord, Slack e Telegram. Além do roubo de informações, o AUDIOFIX suporta vários comandos que permitem reconhecimento manual, exfiltração, execução arbitrária de comandos shell, exclusão de arquivos e recuperação de carga útil de um servidor externo. JINX-0164 também foi observado visando desenvolvedores de software se passando por recrutadores, enquanto empregava a mesma técnica de engenharia social: usar um estratagema de oportunidade de emprego para marcar uma reunião que exibe um erro técnico falso e instrui a vítima a baixar uma “correção” que leva à instalação de malware.
Outro componente importante do arsenal do agente de ameaça é o MiniRAT, um backdoor baseado em Go que foi anteriormente distribuído por meio de uma versão comprometida de um pacote npm chamado @velora-dex/sdk, um kit de ferramentas DeFi legítimo usado para trocas de tokens, ordens de limite e negociação delta na plataforma de troca descentralizada VeloraDEX. De acordo com detalhes compartilhados por SafeDep e StepSecurity no mês passado, a versão envenenada baixou um script de shell de um servidor remoto, que então entregou um binário específico do macOS chamado MiniRAT. O malware está equipado para fazer upload de arquivos, executar comandos de shell arbitrários e buscar cargas ou ferramentas adicionais de domínios controlados pelo invasor. É importante notar que alguns aspectos da campanha, juntamente com o uso de serviços VPN como Astrill VPN e o foco em criptomoedas e desenvolvedores, são uma reminiscência daqueles usados por vários clusters de ameaças norte-coreanos, como BlueNoroff, Contagious Interview e UNC1069.
No entanto, Wiz disse que não há infra-estrutura A estrutura se sobrepõe conectando JINX-0164 a Pyongyang nesta fase. “Da mesma forma, os tipos de domínios falsificados são semelhantes aos usados por outros atores norte-coreanos; no entanto, a infraestrutura JINX-0164 não tem nenhuma sobreposição com outros grupos norte-coreanos rastreados publicamente”, disse Wiz. Aprenda estratégias práticas para detectar e defender-se contra ameaças cibernéticas além das vulnerabilidades de dia zero. Aprenda como validar resultados de pentesting automatizados para tomar decisões de segurança precisas.
Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.