Cyberbeveiligingsbedrijf CrowdStrike waarschuwt voor een phishing-campagne die gebruik maakt van zijn eigen branding om een cryptocurrency-miner te verspreiden die vermomd is als een CRM-applicatie voor werknemers als onderdeel van een vermeend rekruteringsproces.
“De aanval begint met een phishing-e-mail die de rekrutering van CrowdStrike nabootst en de ontvangers naar een kwaadaardige website leidt”, aldus het bedrijf. “Slachtoffers wordt gevraagd een nep-applicatie te downloaden en uit te voeren, die dient als downloader voor de cryptominer XMRig.”
Het in Texas gevestigde bedrijf zei dat het de kwaadaardige campagne op 7 januari 2025 ontdekte en dat het “op de hoogte was van oplichting met valse arbeidsaanbiedingen bij CrowdStrike.”
De phishing-e-mail lokt ontvangers door te beweren dat ze op de shortlist staan voor de volgende fase van het wervingsproces voor een rol als junior ontwikkelaar, en dat ze moeten deelnemen aan een telefoongesprek met het rekruteringsteam door een CRM-tool (Customer Relationship Management) te downloaden die wordt aangeboden in de ingebedde link.
Zodra het gedownloade binaire bestand is gelanceerd, voert het een reeks controles uit om detectie en analyse te omzeilen voordat de payloads van de volgende fase worden opgehaald.
Deze controles omvatten het detecteren van de aanwezigheid van een debugger en het scannen van de lijst met actieve processen op malware-analyse of virtualisatiesoftwaretools. Ze zorgen er ook voor dat het systeem een bepaald aantal actieve processen heeft en dat de CPU minimaal twee kernen heeft.
Als de host aan alle criteria voldoet, wordt aan de gebruiker een foutmelding over een mislukte installatie weergegeven, terwijl hij op de achtergrond heimelijk de XMRig-miner van GitHub en de bijbehorende configuratie van een andere server downloadt (“93.115.172(.)41”) .
“De malware voert vervolgens de XMRig-mijnwerker uit, met behulp van de opdrachtregelargumenten in het gedownloade configuratietekstbestand”, zei CrowdStrike. Door het uitvoerbare bestand toe te voegen, wordt persistentie op de machine tot stand gebracht door een Windows-batchscript toe te voegen aan de Start Menu Startup-map, die verantwoordelijk is voor het lanceren van de mijnwerker.
Valse LDAPNightmare PoC richt zich op beveiligingsonderzoekers
De ontwikkeling komt op het moment dat Trend Micro onthulde dat een nep-proof-of-concept (PoC) voor een onlangs onthuld beveiligingslek in Microsofts Windows Lightweight Directory Access Protocol (LDAP) – CVE-2024-49113 (ook bekend als LDAPNightmare) – wordt gebruikt om mensen te lokken beveiligingsonderzoekers ertoe aanzetten een informatiedief te downloaden.”
De kwaadaardige GitHub-repository in kwestie – github(.)com/YoonJae-rep/CVE-2024-49113 (nu verwijderd) – zou een afsplitsing zijn van de oorspronkelijke repository van SafeBreach Labs die de legitieme PoC host.
De valse repository vervangt de exploit-gerelateerde bestanden echter door een binair bestand met de naam “poc.exe” dat, wanneer het wordt uitgevoerd, een PowerShell-script laat vallen om een geplande taak te maken om een Base64-gecodeerd script uit te voeren. Het gedecodeerde script wordt vervolgens gebruikt om een ander script van Pastebin te downloaden.
De malware in de laatste fase is een stealer die het openbare IP-adres van de machine, systeemmetagegevens, proceslijst, directorylijsten, netwerk-IP-adressen, netwerkadapters en geïnstalleerde updates verzamelt.
“Hoewel de tactiek van het gebruik van PoC-lokmiddelen als middel voor het afleveren van malware niet nieuw is, baart deze aanval nog steeds grote zorgen, vooral omdat deze inspeelt op een trending issue dat mogelijk een groter aantal slachtoffers zou kunnen treffen”, aldus beveiligingsonderzoeker Sarah Pearl Camiling. .