JINX-0164 มุ่งโจมตีบริษัทคริปโท หลอกจ้างงานบน LinkedIn หวังเจาะข้อมูล

JINX-0164 กลุ่มแฮกเกอร์รายใหม่ได้แฝงตัวเป็นผู้จัดหางานบน LinkedIn แพลตฟอร์มที่นิยมสำหรับกลุ่มคนหางาน เพื่อล่อลวงเหยื่อให้ติดตั้งมัลแวร์บนระบบปฏิบัติการ macOS โดยมีวัตถุประสงค์เพื่อการโจรกรรมสินทรัพย์ดิจิทัล และกลุ่มเป้าหมายสำคัญคือบริษัทในอุตสาหกรรมคริปโทเคอร์เรนซี

ทีมนักวิจัยความปลอดภัยจากบริษัท Wiz ได้ตรวจสอบการโจมตี ติดตามความเคลื่อนไหว และพบว่าแฮกเกอร์กลุ่มนี้เริ่มปฏิบัติการมาตั้งแต่กลางปี 2025 แล้ว

⚫️ แผนการลวงข้อมูลของกลุ่ม JINX-0164

แผนการโจรกรรมของกลุ่มแฮกเกอร์จะใช้เทคนิค Social Engineering ในการแสวงหาผลประโยชน์จากการแฮกข้อมูลของเหยื่อ โดยจะมีการชักจูงให้เหยื่อคล้อยตาม หลงเชื่อจนสามารถหลอกขโมยข้อมูลมาได้

จากกรณีของกลุ่ม JINX-0164 จะสร้างโปรไฟล์ในแพลตฟอร์ม LinkedIn เพื่อสร้างความน่าเชื่อถือให้เหยื่อ เพื่อแอบอ้างเป็นผู้จัดหางาน คอยเสนอโอกาสการทำงาน และชวนนัดคุยสัมภาษณ์งานผ่านวิดีโอคอล
โดยลิงก์การประชุมที่ส่งให้เหยื่อดูเหมือนเป็นลิงก์การประชุมทั่วไป แต่ความจริงเป็นโดเมนปลอมที่แฮกเกอร์สร้างขึ้นมา จากนั้นเหยื่อจะถูกหลอกให้ดาวน์โหลด และรันไฟล์อันตรายที่ปลอมแปลงเป็นโปรแกรมติดตั้งของระบบประชุม 

เมื่อเหยื่อกดรันไฟล์แล้ว มัลแวร์ที่ชื่อ AUDIOFIX  ซึ่งเป็นมัลแวร์ประเภท infostealer และ Remote Access Trojan (RAT) ที่พัฒนาด้วย Python โดยใช้สคริปต์ Bash ที่โฮสต์อยู่บนโดเมนไดรเวอร์ปลอม และจะดาวน์โหลดไฟล์ Payload ที่รองรับสถาปัตยกรรมทั้งในระบบ Intel และ Apple Silicon  

โดยมันจะแฝงตัวเป็นระบบ audio driver ที่ชื่อ coreaudiod แต่จะถูกบันทึกในระบบชื่อไฟล์ว่า ChromeUpdater เพื่อหลอกผู้ใช้ให้เข้าใจผิดว่าเป็นโปรแกรมปกติ จากนั้นมันจะดึงข้อมูลสำคัญ และสามารถเข้าถึงโจมตีระบบ CI/CD ส่วนกลางขององค์กรได้จากการควบคุมระยะไกล

ซึ่งเป็นการสะท้อนให้เห็นว่า แม้ระบบ macOS ที่คนเชื่อว่ามีความปลอดภัย แต่ก็ยังต้องเฝ้าระวังกับภัยคุกคามใหม่ ๆ เช่นกัน นอกจากนี้ความตระหนักรู้ทางไซเบอร์ก็เป็นหนึ่งหัวใจสำคัญไม่แพ้กัน เพราะการหลงเชื่อ และขาดการตั้งคำถามกับสิ่งที่น่าสงสัย ก็อาจนำที่สู่ความเสี่ยงจากผลกระทบที่อาจคาดไม่ถึงได้

ที่มา : The Hacker News