Siber güvenlik şirketi CrowdStrike, sözde işe alım sürecinin bir parçası olarak çalışan CRM uygulaması olarak gizlenen bir kripto para madencisini dağıtmak için kendi markasını kullanan bir kimlik avı kampanyası konusunda uyarıda bulunuyor.
Şirket, “Saldırı, CrowdStrike işe alımını taklit eden ve alıcıları kötü amaçlı bir web sitesine yönlendiren bir kimlik avı e-postasıyla başlıyor” dedi. “Kurbanlardan, kripto madencisi XMRig için indirici görevi gören sahte bir uygulamayı indirip çalıştırmaları isteniyor.”
Teksas merkezli şirket, kötü niyetli kampanyayı 7 Ocak 2025’te keşfettiğini ve “CrowdStrike’a sahte iş teklifleri içeren dolandırıcılıklardan haberdar olduğunu” söyledi.
Kimlik avı e-postası, alıcıları, kıdemsiz geliştirici rolü için işe alım sürecinin bir sonraki aşaması için kısa listeye alındıklarını ve şurada sağlanan bir müşteri ilişkileri yönetimi (CRM) aracını indirerek işe alım ekibiyle bir çağrıya katılmaları gerektiğini iddia ederek cezbeder. gömülü bağlantı.
İndirilen ikili program başlatıldığında, bir sonraki aşamadaki yükleri getirmeden önce tespit ve analizden kaçınmak için bir dizi kontrol gerçekleştirir.
Bu kontroller, bir hata ayıklayıcının varlığının tespit edilmesini ve kötü amaçlı yazılım analizi veya sanallaştırma yazılımı araçları için çalışan işlemlerin listesinin taranmasını içerir. Ayrıca sistemin belirli sayıda aktif sürece sahip olmasını ve CPU’nun en az iki çekirdeğe sahip olmasını sağlarlar.
Ana bilgisayarın tüm kriterleri karşılaması durumunda, XMRig madencisini GitHub’dan ve ilgili yapılandırmasını başka bir sunucudan gizlice indirirken kullanıcıya başarısız kurulumla ilgili bir hata mesajı görüntülenir (“93.115.172″)[.]41”) arka planda.
CrowdStrike, “Kötü amaçlı yazılım daha sonra indirilen yapılandırma metin dosyasındaki komut satırı argümanlarını kullanarak XMRig madencisini çalıştırıyor” dedi ve yürütülebilir dosyanın eklenmesi, sorumlu olan Başlat Menüsü Başlangıç klasörüne bir Windows toplu komut dosyası ekleyerek makinede kalıcılık sağlıyor. madenciyi başlatmak için.
Sahte LDAPNightmare PoC Güvenlik Araştırmacılarını Hedefliyor
Gelişme, Trend Micro’nun, Microsoft’un Windows Basit Dizin Erişim Protokolü’nde (LDAP) (CVE-2024-49113 (diğer adıyla LDAPNightmare)) yakın zamanda açıklanan bir güvenlik kusuruna yönelik sahte bir kavram kanıtlamanın (PoC) cezbetmek için kullanıldığını ortaya çıkarmasıyla ortaya çıktı. güvenlik araştırmacılarını bir bilgi hırsızı indirmeye zorluyor.”
Söz konusu kötü amaçlı GitHub deposu – github[.]com/YoonJae-rep/CVE-2024-49113 (artık kaldırıldı) – meşru PoC’yi barındıran SafeBreach Labs’ın orijinal deposunun bir çatalı olduğu söyleniyor.
Ancak sahte depo, istismarla ilgili dosyaları, çalıştırıldığında Base64 kodlu bir betiği yürütmek için zamanlanmış bir görev oluşturmak üzere bir PowerShell betiğini bırakan “poc.exe” adlı bir ikili dosyayla değiştirir. Kodu çözülen komut dosyası daha sonra Pastebin’den başka bir komut dosyası indirmek için kullanılır.
Son aşamadaki kötü amaçlı yazılım, makinenin genel IP adresini, sistem meta verilerini, işlem listesini, dizin listelerini, ağ IP adreslerini, ağ bağdaştırıcılarını ve yüklü güncellemeleri toplayan bir hırsızdır.
Güvenlik araştırmacısı Sarah Pearl Camiling, “PoC yemlerini kötü amaçlı yazılım dağıtımı için bir araç olarak kullanma taktiği yeni olmasa da, bu saldırı, özellikle de daha fazla sayıda kurbanı potansiyel olarak etkileyebilecek trend bir sorundan yararlandığı için hala önemli endişeler yaratıyor” dedi. .