Crowdstrike, bir kimlik avı kampanyasının sahte iş teklifinde siber güvenlik şirketini taklit ettiğini uyarıyor, hedefleri bir Monero kripto para madencisi (XMRIG) ile enfekte etmek için hedefleri kandırmak için e -postalar sunuyor.
Şirket, 7 Ocak 2025'te kötü niyetli kampanyayı keşfetti ve kimlik avı e -postasının içeriğine dayanarak, muhtemelen daha önce başlamadı.
Saldırı, bir Crowdstrike istihdam acentesinden iş arayanlara gönderilen bir kimlik avı e -postasıyla başlar ve şirkette bir geliştirici pozisyonuna başvurdukları için teşekkür eder.
E -posta, hedefleri, meşru bir Crowdstrike portalı gibi görünecek şekilde tasarlanmış bir web sitesinden sözde bir "çalışan CRM uygulaması" indirmeyi yönlendirir.
Bu, şirketin "yeni bir başvuru sahibi CRM uygulaması sunarak işe alım süreçlerini kolaylaştırma" çabasının bir parçasıdır.
Gömülü bağlantıya tıklayan adaylar, söz konusu Windows veya MacOS başvurusunu indirmek için bağlantılar içeren bir web sitesine ("CSCRM-E-E-işe [.] Com") alınır.
İndirilen araç, işlem numarasını, CPU çekirdek sayısını ve hata ayıklayıcıların varlığı gibi bir analiz ortamında çalışmadığından emin olmak için ek yükler getirmeden önce sanal alan kontrolleri gerçekleştirir.
Bu kontroller bittiğinde ve sonuç negatif olduğunda, yani mağdur enfeksiyon için hak kazanır, uygulama yükleyici dosyasının muhtemelen bozuk olduğunu bildiren sahte bir hata mesajı oluşturur.
Arka planda, indirici XMRIG çalıştırmak için gerekli parametreleri içeren bir yapılandırma metni dosyasını alır.
Daha sonra bir GitHub deposundan madenciyi içeren bir fermuarlı arşivi indirir ve dosyaları '%Temp%\ System \' daki dosyaları açar.
Madenci, algılamayı önlemek için minimum işleme gücü (maksimum%10) tüketerek arka planda çalışacak şekilde ayarlanmıştır.
Yeniden başlatmalar arasında kalıcılık için başlangıç menüsü başlangıç dizinine bir toplu komut dosyası eklenirken, kayıt defterinde bir oturum açma Autostart tuşu da yazılır.
Kampanya hakkında daha fazla ayrıntı ve bununla ilişkili uzlaşma göstergeleri Crowdstrike'ın raporunda bulunabilir.
İş arayanlar, e -posta adresinin resmi şirket alanına ait olduğunu doğrulayarak ve bu kişiye resmi firmanın sayfasından iletişime geçerek gerçek bir işverenle konuştuklarını her zaman onaylamalıdır.
Acil veya olağandışı isteklere dikkat edin, gerçek olamayacak kadar iyi teklifler veya bilgisayarınızda yürütülebilir dosyaları indirmek için davetiyeler, işe alım için gerekli.
İşverenler nadiren, eğer varsa, adayların bir mülakat sürecinin bir parçası olarak üçüncü taraf başvurularını indirmelerini ve asla önceden ödemeler talep etmelerini istemektedir.
Kötü niyetli Rspack, çalıntı NPM jetonları kullanılarak yayınlanan vant paketleri
Yeni 'Ottercookie' sahte iş tekliflerinde bina binaları için kullanılan kötü amaçlı yazılım
FTC Çevrimiçi Görev İş Dolandırıcıları Kumar Gibi Kurbanları Kancalayan Uyarıyor
Linux kötü amaçlı yazılım “perfctl” yıllarca süren kriptominasyon kampanyasının arkasında
Kaynak: Bleeping Computer