CrowdStrike, bir kimlik avı kampanyasının sahte iş teklifi e-postalarında siber güvenlik şirketinin kimliğine bürünerek hedefleri kandırarak Monero kripto para madencisini (XMRig) kendilerine bulaştırdığı konusunda uyarıyor.
Şirket, kötü amaçlı kampanyayı 7 Ocak 2025’te keşfetti ve kimlik avı e-postasının içeriğine bakılırsa kampanyanın çok daha erken başlamadığı anlaşılıyor.
Saldırı, iş arayanlara, sözde bir CrowdStrike iş bulma acentesinden gönderilen ve onlara şirkette bir geliştirici pozisyonuna başvurdukları için teşekkür eden bir kimlik avı e-postasıyla başlıyor.
Kaynak: Crowdstrike
E-posta, hedefleri meşru bir Crowdstrike portalı gibi görünecek şekilde tasarlanmış bir web sitesinden sözde bir “çalışan CRM uygulaması” indirmeye yönlendiriyor.
Bunun, şirketin “yeni bir başvuru sahibi CRM uygulaması sunarak işe alım sürecini kolaylaştırma” çabasının bir parçası olduğu iddia ediliyor.
Gömülü bağlantıya tıklayan adaylar bir web sitesine yönlendirilir (“cscrm-hiring[.]com”) söz konusu uygulamanın Windows veya macOS için indirilmesine yönelik bağlantıları içerir.
Kaynak: Crowdstrike
İndirilen araç, bir analiz ortamında çalışmadığından emin olmak için işlem numarasını, CPU çekirdek sayısını ve hata ayıklayıcıların varlığını kontrol etmek gibi ek veriler getirmeden önce korumalı alan kontrolleri gerçekleştirir.
Bu kontroller bittiğinde ve sonuç olumsuz olduğunda, yani kurban virüs bulaşmaya hak kazandığında, uygulama, yükleyici dosyasının muhtemelen bozuk olduğunu bildiren sahte bir hata mesajı oluşturur.
Kaynak: Crowdstrike
Arka planda indirici, XMRig’i çalıştırmak için gerekli parametreleri içeren bir yapılandırma metin dosyasını alır.
Daha sonra GitHub deposundan madenciyi içeren bir ZIP arşivi indirir ve ‘%TEMP%\System\’ içindeki dosyaları açar.
Madenci, tespit edilmekten kaçınmak için minimum işlem gücü (maks. %10) tüketerek arka planda çalışacak şekilde ayarlanmıştır.
Yeniden başlatmalar arasında kalıcılık sağlamak için Başlat Menüsü Başlangıç dizinine bir toplu komut dosyası eklenir ve ayrıca kayıt defterine bir oturum açma otomatik başlatma anahtarı da yazılır.
Kampanya ve bununla ilgili uzlaşma göstergeleri hakkında daha fazla ayrıntıyı Crowdstrike’ın raporunda bulabilirsiniz.
İş arayanlar, e-posta adresinin resmi şirket alanına ait olduğunu doğrulayarak ve bu kişiyle resmi firmanın sayfasından iletişime geçerek gerçek bir işe alım uzmanıyla konuştuklarını her zaman doğrulamalıdır.
Acil veya olağandışı isteklere, gerçek olamayacak kadar iyi tekliflere veya işe alım için gerekli olduğu varsayılan yürütülebilir dosyaları bilgisayarınıza indirme davetlerine karşı dikkatli olun.
İşverenler nadiren adaylardan görüşme sürecinin bir parçası olarak üçüncü taraf uygulamaları indirmelerini ister ve hiçbir zaman ön ödeme talep etmez.