Siber güvenlik şirketi CrowdStrike, sözde işe alım sürecinin bir parçası olarak çalışan CRM uygulaması olarak gizlenen bir kripto para madencisini dağıtmak için kendi markasını kullanan bir kimlik avı kampanyası konusunda uyarıda bulunuyor.
Şirket, “Saldırı, CrowdStrike işe alımını taklit eden ve alıcıları kötü amaçlı bir web sitesine yönlendiren bir kimlik avı e-postasıyla başlıyor” dedi. söz konusu. “Kurbanlardan, kripto madencisi XMRig için indirici görevi gören sahte bir uygulamayı indirip çalıştırmaları isteniyor.”
Teksas merkezli şirket, kötü niyetli kampanyayı 7 Ocak 2025’te keşfettiğini ve “CrowdStrike’a sahte iş teklifleri içeren dolandırıcılıklardan haberdar olduğunu” söyledi.
Kimlik avı e-postası, alıcıları, kıdemsiz geliştirici rolü için işe alım sürecinin bir sonraki aşaması için kısa listeye alındıklarını ve şurada sağlanan bir müşteri ilişkileri yönetimi (CRM) aracını indirerek işe alım ekibiyle bir çağrıya katılmaları gerektiğini iddia ederek cezbeder. gömülü bağlantı.
İndirilen ikili program başlatıldığında, bir sonraki aşamadaki yükleri getirmeden önce tespit ve analizden kaçınmak için bir dizi kontrol gerçekleştirir.
Bu kontroller, bir hata ayıklayıcının varlığının tespit edilmesini ve kötü amaçlı yazılım analizi veya sanallaştırma yazılımı araçları için çalışan işlemlerin listesinin taranmasını içerir. Ayrıca sistemin belirli sayıda aktif işleme sahip olmasını ve CPU’nun en az iki çekirdeğe sahip olmasını sağlarlar.
Ana bilgisayarın tüm kriterleri karşılaması durumunda, XMRig madencisini GitHub’dan ve ilgili yapılandırmasını başka bir sunucudan gizlice indirirken kullanıcıya başarısız kurulumla ilgili bir hata mesajı görüntülenir (“93.115.172″)[.]41”) arka planda.
CrowdStrike, “Kötü amaçlı yazılım daha sonra indirilen yapılandırma metin dosyasındaki komut satırı argümanlarını kullanarak XMRig madencisini çalıştırıyor” dedi ve yürütülebilir dosyanın eklenmesi, sorumlu olan Başlat Menüsü Başlangıç klasörüne bir Windows toplu komut dosyası ekleyerek makinede kalıcılık sağlıyor. madenciyi başlatmak için.
Sahte LDAPNightmare PoC Güvenlik Araştırmacılarını Hedefliyor
Gelişme Trend Micro olarak geliyor açıklığa kavuşmuş Microsoft’un Windows Basit Dizin Erişim Protokolü’nde (LDAP) yakın zamanda açıklanan bir güvenlik kusuruna yönelik sahte bir kavram kanıtı (PoC) – CVE-2024-49113 (aka LDAPNightmare) – güvenlik araştırmacılarını bir bilgi çalan yazılımı indirmeye ikna etmek için kullanılıyor.
Söz konusu kötü amaçlı GitHub deposu – github[.]com/YoonJae-rep/CVE-2024-49113 (şimdi kaldırıldı) – bunun bir çatalı olduğu söyleniyor orijinal depo Meşru PoC’yi barındıran SafeBreach Labs’tan.
Ancak sahte depo, istismarla ilgili dosyaları, çalıştırıldığında Base64 kodlu bir betiği yürütmek için zamanlanmış bir görev oluşturmak üzere bir PowerShell betiğini bırakan “poc.exe” adlı bir ikili dosyayla değiştirir. Kodu çözülen komut dosyası daha sonra Pastebin’den başka bir komut dosyası indirmek için kullanılır.
Son aşamadaki kötü amaçlı yazılım, makinenin genel IP adresini, sistem meta verilerini, işlem listesini, dizin listelerini, ağ IP adreslerini, ağ bağdaştırıcılarını ve yüklü güncellemeleri toplayan bir hırsızdır.
Güvenlik araştırmacısı Sarah Pearl Camiling, “PoC yemlerini kötü amaçlı yazılım dağıtımı için bir araç olarak kullanma taktiği yeni olmasa da, bu saldırı, özellikle de daha fazla sayıda kurbanı potansiyel olarak etkileyebilecek trend bir sorundan yararlandığı için hala önemli endişeler yaratıyor” dedi. .
