
La empresa de ciberseguridad CrowdStrike alerta de una campaña de phishing que explota su propia marca para distribuir un minero de criptomonedas disfrazado de aplicación CRM para empleados como parte de un supuesto proceso de contratación.
“El ataque comienza con un correo electrónico de phishing que se hace pasar por el reclutamiento de CrowdStrike y dirige a los destinatarios a un sitio web malicioso”, afirma la empresa. dicho. “Se solicita a las víctimas que descarguen y ejecuten una aplicación falsa, que sirve como descargador para el criptominero XMRig”.
La compañía con sede en Texas dijo que descubrió la campaña maliciosa el 7 de enero de 2025 y que está “consciente de estafas que involucran ofertas falsas de empleo con CrowdStrike”.
El correo electrónico de phishing atrae a los destinatarios afirmando que han sido preseleccionados para la siguiente etapa del proceso de contratación para un puesto de desarrollador junior y que deben unirse a una llamada con el equipo de contratación descargando una herramienta de gestión de relaciones con el cliente (CRM) proporcionada en el enlace incrustado.
El binario descargado, una vez iniciado, realiza una serie de comprobaciones para evadir la detección y el análisis antes de recuperar las cargas útiles de la siguiente etapa.
Estas comprobaciones incluyen detectar la presencia de un depurador y escanear la lista de procesos en ejecución en busca de análisis de malware o herramientas de software de virtualización. También aseguran que el sistema tenga una cierta cantidad de procesos activos y que la CPU tenga al menos dos núcleos.
Si el host cumple todos los criterios, se muestra al usuario un mensaje de error sobre una instalación fallida, mientras se descarga de forma encubierta el minero XMRig desde GitHub y su configuración correspondiente desde otro servidor (“93.115.172[.]41”) al fondo.
“Luego, el malware ejecuta el minero XMRig, utilizando los argumentos de la línea de comandos dentro del archivo de texto de configuración descargado”, dijo CrowdStrike, agregando que el ejecutable establece persistencia en la máquina al agregar un script por lotes de Windows a la carpeta de inicio del menú Inicio, que es responsable. para lanzar el minero.
PoC falso de LDAP Nightmare apunta a investigadores de seguridad
El desarrollo llega como Trend Micro reveló que una prueba de concepto (PoC) falsa para una falla de seguridad recientemente revelada en el Protocolo ligero de acceso a directorios (LDAP) de Windows de Microsoft – CVE-2024-49113 (también conocido como LDAPNightmare) – se utiliza para atraer a los investigadores de seguridad para que descarguen un ladrón de información”.
El repositorio malicioso de GitHub en cuestión – github[.]com/YoonJae-rep/CVE-2024-49113 (ahora eliminado) – se dice que es una bifurcación del repositorio original de SafeBreach Labs que aloja la PoC legítima.
Sin embargo, el repositorio falsificado reemplaza los archivos relacionados con el exploit con un binario llamado “poc.exe” que, cuando se ejecuta, suelta un script de PowerShell para crear una tarea programada para ejecutar un script codificado en Base64. El script decodificado se utiliza luego para descargar otro script de Pastebin.
El malware de etapa final es un ladrón que recopila la dirección IP pública de la máquina, los metadatos del sistema, la lista de procesos, las listas de directorios, las direcciones IP de la red, los adaptadores de red y las actualizaciones instaladas.
“Aunque la táctica de utilizar señuelos PoC como vehículo para la entrega de malware no es nueva, este ataque todavía plantea preocupaciones importantes, especialmente porque aprovecha un problema de tendencia que podría afectar potencialmente a un mayor número de víctimas”, dijo la investigadora de seguridad Sarah Pearl Camiling. .






