Siber güvenlik alanında lider olan CrowdStrike, “çalışan CRM uygulaması” görünümü altında kötü amaçlı yazılım yaymak için işe alım markasını kullanan karmaşık bir kimlik avı kampanyasını ortaya çıkardı.
Bu endişe verici saldırı vektörü, CrowdStrike’ın işe alım ekibinin kimliğine bürünen ve alıcıları kötü amaçlı bir web sitesini ziyaret etmeye ikna eden sahte bir e-postayla başlıyor.
Oraya vardıklarında, kurbanlardan farkında olmadan kripto madenci XMRig için indirici olarak çalışan zararlı bir uygulamayı indirmeleri ve çalıştırmaları isteniyor.
Dolandırıcılık Nasıl Çalışır?
Kimlik avı dolandırıcılığı, işe alım sürecinin bir parçası olduğunu iddia eden ilgi çekici bir e-postayla başlıyor. İlk iletişimde genellikle profesyonel markalama ve CrowdStrike’ın yasal işe alım portalını taklit edecek şekilde tasarlanmış uydurma bir web sitesine doğrudan bağlantı yer alır.
Kurbanlar, bağlantıya tıkladıklarında hem Windows hem de macOS için indirme seçenekleri sunan kötü amaçlı bir siteye ulaşıyor.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
Bununla birlikte, yapılan seçime bakılmaksızın, indirilen dosya, XMRig kripto madencisi için bir indirici olarak çalışırken tespit edilmekten kaçınmak için tasarlanmış, Rust’ta ustaca hazırlanmış bir Windows yürütülebilir dosyasıdır.
Crowdstrike raporuna göre yürütülebilir dosya, güvenlik mekanizmalarından ve analizlerden kaçmak için çeşitli gelişmiş teknikler kullanıyor. Özellikle aşağıdaki ortam kontrollerini gerçekleştirir:
- Hata Ayıklayıcı Tespiti: Bir hata ayıklayıcı tarafından izlenip izlenmediğini belirlemek için IsDebuggerPresent Windows API’sini kullanır.
- İşlem Sayımı Doğrulaması: Yazılım, güvenli veya izlenen bir ortamın göstergesi olabilecek minimum sayıda etkin işlemin çalışıp çalışmadığını kontrol eder.
- CPU Çekirdek Kontrolü: Kötü amaçlı yazılım, CPU’nun en az iki çekirdeğe sahip olmasını sağlayarak operasyonları için daha yetenekli sistemleri hedef alır.
- Süreç Taraması: Etkin süreçleri, bilinen kötü amaçlı yazılım analiz araçları ve sanallaştırma yazılımları açısından tarar ve korumalı alan ortamlarında yürütmeyi önler.
Bu kontroller başarıyla geçilirse program, kötü niyetli faaliyetlerine devam etmeden önce şüpheyi önlemek için sahte bir hata mesajı görüntüler.
Yük Teslimatı
Sahte açılır pencerenin ardından kötü amaçlı yürütülebilir dosya, belirtilen bir URL’den bir yapılandırma metin dosyası indirir. Bu metin dosyası, XMRig için daha sonra madencilik işlemini verimli bir şekilde yürütmek için kullanılan temel komut satırı argümanlarını içerir.
Yürütülebilir dosya daha sonra XMRig’i GitHub deposundan alır ve ZIP dosyasını %TEMP%\System\ dizinine çıkarır. Paket açıldıktan sonra birincil XMRig madencisi, daha önce alınan yapılandırma parametreleri kullanılarak başlatılır.
Kalıcılığı sağlamak için indirici, Başlat Menüsü Başlangıç dizininde bir Windows toplu komut dosyası oluşturur.
Bu komut dosyası, sistem her başlatıldığında indirilen madenciyi çalıştırır. Ek olarak, kötü amaçlı indiricinin her oturum açmada çalışmasını sağlamak için Windows Kayıt Defterini değiştirir, böylece kullanıcının bilgisi olmadan sürekli bir madencilik işlemi sürdürülür.
Bu olay, özellikle iş arayanlar için kimlik avı dolandırıcılıklarına karşı dikkatli olunması gerektiğinin altını çiziyor.
İşe alım sürecine dahil olan adaylardan, CrowdStrike’dan geldiğini iddia eden herhangi bir iletişimin meşruiyetini doğrulamaları istenmektedir. Bilinmeyen kaynaklardan istenmeyen dosyaların indirilmesi önemli riskler oluşturur.
Kuruluşlar, çalışanlarına kimlik avı girişimlerini belirleme, ağ trafiğini olağandışı etkinliklere karşı izleme ve güçlü uç nokta koruma çözümleri uygulama konusunda eğiterek bu tehditleri azaltabilir.
CrowdStrike ayrıca topluluğa istihdam tekliflerini yanlış tanıtan diğer yaygın dolandırıcılıkları da hatırlatmak istiyor.
Sahte röportajlar ve tekliflerde sıklıkla sahte web siteleri, e-posta adresleri ve hatta grup sohbet platformları kullanılır. CrowdStrike, işe alım sürecinin bir parçası olarak anlık mesajlaşma yoluyla görüşme yapmadığını veya herhangi bir finansal işlem gerektirmediğini doğruluyor.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!