CrowdStrike попереджає, що фішингова кампанія видає себе за компанію з кібербезпеки у фальшивих електронних листах із пропозиціями про роботу, щоб обманом змусити цільових користувачів заразитися майнером криптовалюти Monero (XMRig). Шкідливу кампанію виявили 7 січня 2025 року. Про це повідомляє BleepingComputer.
Атака починається із фішингового електронного листа, надісланого шукачам роботи нібито від агента із працевлаштування у CrowdStrike із подякою за те, що вони подали заявку на посаду розробника у компанії.
В електронному листі вказано про необхідність завантажити нібито програму CRM для співробітників із вебсайту, розробленого як офіційний вебпортал CrowdStrike. Кандидати, які натискають на вбудоване посилання, переходять на вебсайт (cscrm-hiring[.]com), що містить посилання для завантаження зазначеної програми для Windows або macOS.
Завантажений інструмент виконує перевірки ізольованого програмного середовища перед отриманням додаткових корисних даних, щоб переконатися, що він не працює в середовищі аналізу, як-от перевірка номера процесу, кількості ядер ЦП і наявності налагоджувачів.
Після завершення цих перевірок та отримання негативного результату (тобто якщо жертва відповідає критеріям зараження) програма генерує фальшиве повідомлення про помилку, яке інформує про те, що файл інсталятора, ймовірно, пошкоджено.
У фоновому режимі програма завантаження отримує текстовий файл конфігурації, що містить необхідні параметри для запуску XMRig. Потім вона завантажує ZIP-архів, який містить майнер зі сховища GitHub, і розпаковує файли в %TEMP%\System\.
Майнер налаштований на роботу у фоновому режимі, споживаючи мінімальну потужність обробки (максимум 10%), щоб уникнути виявлення. Пакетний сценарій додається в каталог запуску меню «Пуск» для збереження між перезавантаженнями, ключ автозапуску також записується в реєстрі.
Детальніше про кампанію та пов’язані з нею ознаки компрометації можна прочитати у звіті CrowdStrike.
Шукачі роботи завжди мають підтверджувати, що вони розмовляють зі справжнім рекрутером, і перевіряти, чи адреса електронної пошти належить до офіційного домену компанії. Остерігайтеся термінових або незвичайних запитів, пропозицій, які занадто гарні, щоб бути правдою, або запрошень завантажити виконувані файли на ваш комп’ютер.
Нагадуємо, що роботодавці рідко, якщо взагалі це роблять, вимагають від кандидатів завантажувати програми сторонніх розробників під час співбесіди та ніколи не вимагають передоплати.
Раніше ProIT розповідав про глобальний кіберзбій у CrowdStrike, який зупинив авіарейси та зривав бізнес у всьому світі.
Читайте також на нашому сайті, скільки пристроїв Windows постраждали від збою CrowdStrike.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
