{"id":1526460,"date":"2025-01-11T00:13:42","date_gmt":"2025-01-11T00:13:42","guid":{"rendered":"https:\/\/teknomers.com\/es\/crowdstrike-advierte-sobre-estafa-de-phishing-dirigida-a-solicitantes-de-empleo-con-xmrig-cryptominer\/"},"modified":"2025-01-11T00:13:47","modified_gmt":"2025-01-11T00:13:47","slug":"crowdstrike-advierte-sobre-estafa-de-phishing-dirigida-a-solicitantes-de-empleo-con-xmrig-cryptominer","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/crowdstrike-advierte-sobre-estafa-de-phishing-dirigida-a-solicitantes-de-empleo-con-xmrig-cryptominer\/","title":{"rendered":"CrowdStrike advierte sobre estafa de phishing dirigida a solicitantes de empleo con XMRig Cryptominer"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 de enero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Criptominer\u00eda \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/CrowdStrike-advierte-sobre-estafa-de-phishing-dirigida-a-solicitantes-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>La empresa de ciberseguridad CrowdStrike alerta de una campa\u00f1a de phishing que explota su propia marca para distribuir un minero de criptomonedas disfrazado de aplicaci\u00f3n CRM para empleados como parte de un supuesto proceso de contrataci\u00f3n.<\/p>\n<p>&#8220;El ataque comienza con un correo electr\u00f3nico de phishing que se hace pasar por el reclutamiento de CrowdStrike y dirige a los destinatarios a un sitio web malicioso&#8221;, afirma la empresa. <a rel=\"noopener nofollow\" href=\"https:\/\/www.crowdstrike.com\/en-us\/blog\/recruitment-phishing-scam-imitates-crowdstrike-hiring-process\/\" target=\"_blank\">dicho<\/a>. &#8220;Se solicita a las v\u00edctimas que descarguen y ejecuten una aplicaci\u00f3n falsa, que sirve como descargador para el criptominero XMRig&#8221;.<\/p>\n<p>La compa\u00f1\u00eda con sede en Texas dijo que descubri\u00f3 la campa\u00f1a maliciosa el 7 de enero de 2025 y que est\u00e1 &#8220;consciente de estafas que involucran ofertas falsas de empleo con CrowdStrike&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-campana-HornsHooves-ofrece-RAT-a-traves-de-correos-electronicos.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El correo electr\u00f3nico de phishing atrae a los destinatarios afirmando que han sido preseleccionados para la siguiente etapa del proceso de contrataci\u00f3n para un puesto de desarrollador junior y que deben unirse a una llamada con el equipo de contrataci\u00f3n descargando una herramienta de gesti\u00f3n de relaciones con el cliente (CRM) proporcionada en el enlace incrustado.<\/p>\n<p>El binario descargado, una vez iniciado, realiza una serie de comprobaciones para evadir la detecci\u00f3n y el an\u00e1lisis antes de recuperar las cargas \u00fatiles de la siguiente etapa.<\/p>\n<p>Estas comprobaciones incluyen detectar la presencia de un depurador y escanear la lista de procesos en ejecuci\u00f3n en busca de an\u00e1lisis de malware o herramientas de software de virtualizaci\u00f3n. Tambi\u00e9n aseguran que el sistema tenga una cierta cantidad de procesos activos y que la CPU tenga al menos dos n\u00facleos.<\/p>\n<p>Si el host cumple todos los criterios, se muestra al usuario un mensaje de error sobre una instalaci\u00f3n fallida, mientras se descarga de forma encubierta el minero XMRig desde GitHub y su configuraci\u00f3n correspondiente desde otro servidor (&#8220;93.115.172[.]41&#8221;) al fondo.<\/p>\n<p>&#8220;Luego, el malware ejecuta el minero XMRig, utilizando los argumentos de la l\u00ednea de comandos dentro del archivo de texto de configuraci\u00f3n descargado&#8221;, dijo CrowdStrike, agregando que el ejecutable establece persistencia en la m\u00e1quina al agregar un script por lotes de Windows a la carpeta de inicio del men\u00fa Inicio, que es responsable. para lanzar el minero.<\/p>\n<h3>PoC falso de LDAP Nightmare apunta a investigadores de seguridad<\/h3>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1736554421_772_CrowdStrike-advierte-sobre-estafa-de-phishing-dirigida-a-solicitantes-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1736554421_772_CrowdStrike-advierte-sobre-estafa-de-phishing-dirigida-a-solicitantes-de.png\" alt=\"PoC falso de LDAP Nightmare\" border=\"0\" data-original-height=\"519\" data-original-width=\"981\" title=\"PoC falso de LDAP Nightmare\"\/><\/a><\/div>\n<p>El desarrollo llega como Trend Micro <a rel=\"noopener nofollow\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/25\/a\/information-stealer-masquerades-as-ldapnightmare-poc-exploit.html\" target=\"_blank\">revel\u00f3<\/a> que una prueba de concepto (PoC) falsa para una falla de seguridad recientemente revelada en el Protocolo ligero de acceso a directorios (LDAP) de Windows de Microsoft \u2013 <a rel=\"noopener nofollow\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/25\/a\/what-we-know-about-cve-2024-49112-and-cve-2024-49113.html\" target=\"_blank\">CVE-2024-49113<\/a> (tambi\u00e9n conocido como LDAPNightmare) \u2013 se utiliza para atraer a los investigadores de seguridad para que descarguen un ladr\u00f3n de informaci\u00f3n&#8221;.<\/p>\n<p>El repositorio malicioso de GitHub en cuesti\u00f3n \u2013 github[.]com\/YoonJae-rep\/CVE-2024-49113 (ahora eliminado) \u2013 se dice que es una bifurcaci\u00f3n del <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/SafeBreach-Labs\/CVE-2024-49113\" target=\"_blank\">repositorio original<\/a> de SafeBreach Labs que aloja la PoC leg\u00edtima.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/itdr-guide-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1735735832_165_Entidades-iranies-y-rusas-sancionadas-por-interferencia-electoral-utilizando-inteligencia.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Sin embargo, el repositorio falsificado reemplaza los archivos relacionados con el exploit con un binario llamado &#8220;poc.exe&#8221; que, cuando se ejecuta, suelta un script de PowerShell para crear una tarea programada para ejecutar un script codificado en Base64. El script decodificado se utiliza luego para descargar otro script de Pastebin.<\/p>\n<p>El malware de etapa final es un ladr\u00f3n que recopila la direcci\u00f3n IP p\u00fablica de la m\u00e1quina, los metadatos del sistema, la lista de procesos, las listas de directorios, las direcciones IP de la red, los adaptadores de red y las actualizaciones instaladas.<\/p>\n<p>&#8220;Aunque la t\u00e1ctica de utilizar se\u00f1uelos PoC como veh\u00edculo para la entrega de malware no es nueva, este ataque todav\u00eda plantea preocupaciones importantes, especialmente porque aprovecha un problema de tendencia que podr\u00eda afectar potencialmente a un mayor n\u00famero de v\u00edctimas&#8221;, dijo la investigadora de seguridad Sarah Pearl Camiling. .<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/01\/crowdstrike-warns-of-phishing-scam.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 de enero de 2025\ue804Ravie LakshmananCriptominer\u00eda \/ Malware La empresa de ciberseguridad CrowdStrike alerta de una campa\u00f1a de<\/p>\n","protected":false},"author":1,"featured_media":1526461,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,6088,4661,4664,99,243251,271809,8317,3341,1589,201033,4654,201031,4659,4653,4655,8178,246983,255454,246984,131,201032,19396,246982,4660,271808],"class_list":["post-1526460","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-advierte","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-crowdstrike","tag-cryptominer","tag-dirigida","tag-empleo","tag-estafa","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-phishing","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-sobre","tag-software-malicioso-ransomware","tag-solicitantes","tag-violacion-de-datos","tag-vulnerabilidad-de-software","tag-xmrig"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1526460","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1526460"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1526460\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1526461"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1526460"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1526460"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1526460"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}