Şirket, Cryptojacker’ların e-posta yoluyla Crowdstrike’ı taklit ederek geliştiricilerin farkında olmadan XMRig kripto para madencisini Windows PC’lerine kurmalarını sağladığı konusunda uyardı.
E-posta
Crowdstrike’ın, iş arayanların şirkette hangi pozisyonların açık olduğunu görebileceği ve iş başvurusunda bulunabileceği bir web sayfası bulunmaktadır.
İş arama genellikle birçok farklı şirkete gönderilen birçok başvuruyu içeren vergilendirme sürecidir ve bu planın arkasındaki dolandırıcılar, daha önce Crowdstrike’a iş başvurusunda bulunan (veya başvurduklarına inanan) bazı hedefler üzerine bahse girerler.
Kimlik avı e-postası şirketin kimliğine bürünüyor ve potansiyel kurbandan görüşmeyi planlamak için bir masaüstü uygulamasına erişmesini istiyor.
“Yeni başvuru sahibi ve çalışan CRM uygulamasını” indirmek için, indirme için Windows veya macOS sürümü sağladığı varsayılan Crowdstrike markalı bir siteye yönlendiriliyorlar.
Kötü niyetli, sahte Crowdstrike sitesi (Kaynak: Crowstrike)
Gerçekte, her iki indirme düğmesi de yalnızca Windows makinelerini hedef alabilen aynı kötü amaçlı yürütülebilir dosyanın indirilmesini tetikler.
Kötü niyetli yük
İndirilen ZIP dosyası, çalıştırıldığında bir hata ayıklayıcının, kötü amaçlı yazılım analizinin ve sanallaştırma araçlarının varlığını ve hedef sistemin en az iki çekirdekli bir CPU’ya ve minimum sayıda etkin işleme sahip olup olmadığını kontrol eden bir yürütülebilir dosya içerir.
Bu araçları bulamazsa ve ikinci koşullar karşılanırsa yürütülebilir dosyalar sahte bir hata mesajı görüntüler:
Ancak arka planda yürütülebilir dosya aynı zamanda GitHub’dan XMRig’in bir kopyasını ve bir metin yapılandırma dosyasını da indirir.
Madenci yüklenip yapılandırıldıktan sonra yürütülebilir dosya, madencinin bir kopyasını oluşturur ve sistem her yeniden başlatıldığında madencinin çalışmaya başlamasını sağlamak için yeni bir Windows Kayıt Defteri oturum açma otomatik başlatma anahtarı ekler. Madenci ayrıca tespit edilmekten kaçınmak için minimum CPU kaynağı kullanır.
Kullanıcıların zayıf noktalarından yararlanma
İyi maaşlı bir iş için iş teklifleri veya görüşme fırsatları, kripto hırsızları, dolandırıcılar ve kötü amaçlı yazılım satıcılarının yanı sıra, bir yol arayan ilk erişim komisyoncuları, fidye yazılımı bağlı kuruluşları ve devlet destekli APT grupları tarafından sıklıkla bir yem olarak kullanılır. belirli organizasyonlara ayrılır.
Crowdstrike bu son kampanya hakkında uyarıda bulundu ancak aynı zamanda CrowdStrike’a sahte iş teklifleri içeren dolandırıcılıkların da farkında olduklarını söylüyor.
Şirket, “Sahte görüşmeler ve iş tekliflerinde sahte web siteleri, e-posta adresleri, grup sohbetleri ve kısa mesajlar kullanılıyor” dedi ve şunları belirtti:
- Potansiyel adaylarla anlık mesaj veya grup sohbeti yoluyla röportaj yapmayın
- Adayların ürün veya hizmet satın almasını, şirket adına ödemeleri işleme koymasını veya adaylardan mülakat için yazılım indirmelerini istemeyin.
“Bu kampanya, özellikle iş arayanları hedef alan kimlik avı dolandırıcılıklarına karşı dikkatli olmanın önemini vurguluyor. İşe alım sürecindeki kişiler, CrowdStrike iletişimlerinin gerçekliğini doğrulamalı ve istenmeyen dosyaları indirmekten kaçınmalıdır” diye ekledi.