MalwareHackerangriffeSchwachstellen

JINX-0164: Neue Bedrohung zielt auf Kryptofirmen mit gefälschten Recruiter-Ködern und macOS-Malware

Von CyberDeutsch Redaktion
JINX-0164: Neue Bedrohung zielt auf Kryptofirmen mit gefälschten Recruiter-Ködern und macOS-Malware
Zusammenfassung

Eine neue Bedrohungskampagne unter dem Namen JINX-0164 bedroht gezielt Kryptowährungsunternehmen weltweit mit einem raffinierten Angriffsszenario, das Sozial-Engineering, maßgeschneiderte macOS-Malware und Lieferkettenattacken kombiniert. Die bislang unbekannte Bedrohungsgruppe spricht Entwickler und Mitarbeiter von Krypto-Firmen über gefälschte LinkedIn-Profile an, die sich als Recruiter ausgeben und zu betrügerischen Videokonferenz-Plattformen locken. Von dort werden die Opfer zum Download einer schädlichen Software verleitet, die das Python-basierte Spionage-Tool AUDIOFIX installiert und damit Zugriff auf sensible Daten wie Kryptowallet-Zugangsdaten, SSH-Schlüssel und Anmeldeinformationen ermöglicht. Experten des Google-eigenen Sicherheitsunternehmens Wiz haben zudem entdeckt, dass die Angreifer Zugang zu Code-Repositories und Entwicklungsinfrastrukturen erlangen und so Supply-Chain-Anschläge durchführen. Während einige Merkmale auf nordkoreanische Hackergruppen hindeuten, bestehen nach bisherigen Erkenntnissen noch keine Verbindungen. Für deutsche Unternehmen in der Blockchain- und Kryptobranche sowie Fintech-Entwickler stellt diese Kampagne eine ernst zu nehmende Bedrohung dar, insbesondere wenn sie rekrutierungsbezogene Anfragen von LinkedIn erhalten.

Die Sicherheitsforscher von Wiz beschreiben eine mehrstufige Angriffskette, die sich zunächst über manipulierte Rekrutierungsangebote entfaltet. Die Angreifer nutzen gefälschte LinkedIn-Profile, um potenzielle Opfer anzusprechen und sie zu virtuellen Meetings einzuladen. Diese verlinken jedoch auf betrügerische Domains, die sich als Video-Konferenzplattformen tarnen. Ahnungslose Nutzer werden dazu verleitet, ein Programm herunterzuladen — was die Installation von AUDIOFIX auslöst, einer Python-basierten Infostealer- und Remote-Access-Trojaner-Malware.

AUDIOFIX wird via Bash-Skript von einer gefälschten Driver-Store-Domain („apple.driver-store[.]com”) nachgeladen. Die Malware präsentiert sich als Systemaudiotreiber namens coreaudiod, wird aber als ChromeUpdater gespeichert und über launchctl ausgeführt. Das Schadprogramm funktioniert auf Intel- und Apple-Silicon-Systemen gleichermaßen. Nach der Installation beginnt AUDIOFIX damit, sensible Daten zu exfiltrieren: Passwörter aus Passwort-Managern, Browser-Daten, iCloud-Keychain-Informationen, SSH-Schlüssel, lokale Admin-Credentials und insbesondere Informationen zu Kryptowährungs-Browser-Extensions sowie Wallet-Adressen.

Besonders gefährlich ist die Fähigkeit der Malware zur Lateral Movement. AUDIOFIX injiziert sich in interne Code-Verteilungssysteme und Entwicklungsinfrastrukturen, wodurch sie Quellcode modifizieren und weitere Endpoints kompromittieren kann. Dadurch werden Kryptowährungs-Wallet-Credentials von mehreren Systemen gestohlen.

Als weiteres Werkzeug nutzt JINX-0164 MiniRAT, einen Go-basierten Backdoor, der über ein manipuliertes npm-Paket namens @velora-dex/sdk verbreitet wurde — einem echten DeFi-Toolkit der VeloraDEX-Börse. Die vergiftete Version lud ein Shell-Skript herunter, das seinerseits ein macOS-spezifisches Binary lieferte. MiniRAT kann Dateien hochladen, beliebige Shell-Befehle ausführen und zusätzliche Tools laden.

Wiz vermutet, dass einige Aspekte der Kampagne — das Profiling von Entwicklern, die Nutzung von VPN-Diensten wie Astrill VPN und der Fokus auf Kryptobörsen — Ähnlichkeiten mit nordkoreanischen Bedrohungsakteuren wie BlueNoroff aufweisen. Allerdings gibt es bislang keine Infrastruktur-Überschneidungen, die JINX-0164 direkt Nordkorea zuordnen würden.

Ähnliche Artikel