HABER ÖZETİ
Siber suçlular yeni bir taktik benimsedi: CrowdStrike Kurbanlarının cihazlarına bir kripto madenci dağıtmak için işe alım görevlileri.
Bu kötü niyetli kampanya, kurbanı, kıdemsiz geliştirici pozisyonu için işe alım uzmanıyla bir röportaj planlamaya davet eden bir e-postayla başlıyor.
Gayri meşru e-posta, alıcıyı görüşmelerini planlayabilmeleri için bir siteye götüreceğini iddia eden bir bağlantı içerir, ancak gerçekte kurbanı, sözde bir “CRM uygulaması” indirmeye yönelik bağlantılar içeren kötü amaçlı bir web sitesine götürür.
Cofense’deki Kimlik Avı Savunma Merkezi’nin kıdemli yöneticisi Chance Caldwell, “Görüşme ve işle ilgili kimlik avı e-postaları nadir olmasa da, bu, bu temayla gördüğümüz kötü amaçlı kampanyaların büyük çoğunluğunun ötesine geçen, hedef odaklı bir kampanyadır” dedi. e-postayla gönderilen bir beyan. “Kampanya, aslında CrowdStrike’a aitmiş gibi görünecek şekilde oluşturulmuş URL’ler kullanıyor ve indirilen kötü amaçlı yazılım, kullanıcıları gerçek CrowdStrike destek portalına yönlendiren bir açılır pencere sağlıyor. Gördüğümüz kullanım örneklerinin çoğu, doğru markalamaya sahip oldukları için şanslı. , kendilerini gerçekten CrowdStrike olarak göstermek için burada yapılan kapsamlı çalışma çok daha az.”
Kötü Amaçlı Recruiter Hem Windows hem de Mac’i Hedef Aldı
Site hem Windows hem de macOS için seçenekler sunuyor ve kurban hangi seçeneği seçerse seçsin, bir kez seçildikten sonra Windows çalıştırılabilir dosyasını indirecek Rust’ta yazılmış. Yürütülebilir dosya daha sonra indirilecektir. kripto madenci XMRig.
Yürütülebilir dosya, cihazı analiz etmek ve tespitten kaçınmak için çalışan işlemleri taramak, CPU’yu doğrulamak ve daha fazlası gibi çeşitli çevresel kontroller gerçekleştirir.
Kontroller başarılı olursa yürütülebilir dosya, XMRig madencisini çalıştırmak için gereken ek yükleri indirirken kullanıcı için yanlış bir hata mesajı açılır penceresi görüntüler.
Kampanyayı birkaç gün önce tespit eden CrowdStrike, iş arayanları uyarıyorum uyanık olmak, çünkü etrafta dolaşan sahte istihdam tekliflerini içeren tek dolandırıcılık bu değil.
Anlık mesaj veya e-posta yoluyla yapılan görüşmelerden kaçınılmasını ve bir görüşme için herhangi bir yazılım indirmenin reddedilmesini tavsiye etti ve CrowdStrike’ın işe alım iletişimlerinin doğruluğunun aşağıdaki adresle iletişime geçerek doğrulanmasının önemini vurguladı: [email protected].
Caldwell, “Bir işe alma görevlisinin, görüşme sürecinin bir parçası olarak birisini yürütülebilir bir dosyayı indirmeye yönlendirmesi pek olası değildir” dedi. “Bunun gibi herhangi bir şüpheli istek, herhangi bir şey indirilmeden önce yeterince doğrulanmalı ve iletişim bilgileri meşru şirket web sitesi aracılığıyla doğrulanmalıdır.”