Киберпрестъпниците са възприели нова тактика, представяйки се за вербовчици на CrowdStrike, за да разпространят криптомайнера на устройствата на жертвите си.
Тази злонамерена кампания започва с имейл, в който жертвата се приканва да насрочи интервю с рекрутър за позиция като младши разработчик.
Нелегитимното електронно писмо съдържа връзка, за която се твърди, че ще отведе получателя до сайт, за да може да насрочи интервюто си, но в действителност отвежда жертвата до злонамерен уебсайт, съдържащ връзки за изтегляне на предполагаемо „CRM приложение“.
„Въпреки че фишинг имейлите, свързани с интервюта и работа, не са рядкост, това е много целенасочена кампания, която надхвърля огромното мнозинство от злонамерени кампании, които виждаме на тази тема“, казва Чанс Колдуел, старши директор на Центъра за защита от фишинг в Cofense, в изявление, изпратено по електронната поща. „Кампанията използва URL адреси, които са създадени така, че да изглеждат като действително принадлежащи на CrowdStrike, а изтегленият зловреден софтуер предоставя изскачащ прозорец, който насочва потребителите към истинския портал за поддръжка на CrowdStrike. Повечето от случаите на използване, които виждаме, имат късмета да имат подходящо брандиране, а още по-малко – разширената работа, извършена тук, за да се представят наистина като CrowdStrike.“
Злонамерени примамки за набиране на персонал се насочват както към Windows, така и към Mac
Сайтът предлага опции както за Windows, така и за macOS, и независимо от това коя опция ще избере жертвата, след като бъде избрана, тя ще изтегли изпълним файл за Windows, написан на Rust. След това изпълнимият файл ще изтегли криптомайнера XMRig.
Изпълнимият файл изпълнява няколко проверки на околната среда, за да анализира устройството и да избегне откриване, като например сканиране на изпълняваните процеси, проверка на процесора и др.
Ако проверките са преминали успешно, изпълнимият файл ще покаже на потребителя изскачащ прозорец с фалшиво съобщение за грешка, като същевременно ще изтегли допълнителен полезен товар, необходим за стартирането на миньора XMRig.
Компанията CrowdStrike, която идентифицира кампанията преди броени дни, предупреждава търсещите работа да бъдат бдителни, тъй като това не е единствената измама, свързана с фалшиви предложения за работа, която се разпространява навън.
Тя препоръчва да се избягват всякакви интервюта, провеждани чрез мигновени съобщения или електронна поща, и да се отказва изтеглянето на какъвто и да е софтуер за интервю, и подчертава, че е важно да се проверява автентичността на всички съобщения за наемане на работа в CrowdStrike, като се свържете с recruiting@crowdstrike.com.
„Много малко вероятно е специалист по набиране на персонал да насочи някого да изтегли изпълним файл като част от процеса на интервю“, отбеляза Колдуел. „Всички подозрителни искания, като това, трябва да бъдат достатъчно проверени, преди да се изтегли каквото и да било, а информацията за контакт трябва да се провери чрез легитимния уебсайт на компанията.“
