HackerNews 编译,转载请注明出处:
CrowdStrike警告称,一起网络钓鱼攻击正冒充该网络安全公司,通过虚假的招聘邮件诱骗目标对象下载门罗币(Monero)加密货币挖矿软件XMRig。
2025年1月7日,该公司发现了这起恶意攻击活动,根据钓鱼邮件的内容判断,该活动开始的时间应该不会太早。
攻击始于一封发送给求职者的钓鱼邮件,邮件自称来自CrowdStrike的招聘代理,感谢他们申请公司的开发者职位。邮件指示目标对象从一个看似合法CrowdStrike门户的网站上下载所谓的“员工客户关系管理(CRM)应用程序”。
这据说是公司为了“通过推出新的申请者CRM应用程序来简化入职流程”而做出的努力。
点击邮件中嵌入链接的候选人会被带到一个名为“cscrm-hiring[.]com”的网站,该网站提供Windows或macOS系统的应用程序下载链接。
滥用CrowdStrike品牌的恶意网站(图片来源:CrowdStrike)
下载的工具会在获取额外有效载荷之前进行沙箱检查,以确保其不在分析环境中运行,例如检查进程号、CPU核心数以及调试器的存在。
一旦这些检查完成且结果为阴性(即受害者符合感染条件),应用程序会生成一条虚假的错误信息,称安装程序文件可能已损坏。
虚假错误信息(图片来源:CrowdStrike)
在后台,下载器会获取一个包含运行XMRig所需参数的配置文件文本。
然后,它会从GitHub存储库中下载一个包含挖矿软件的ZIP压缩包,并在“%TEMP%\System\”目录中解压文件。
挖矿软件将在后台运行,消耗极少的处理能力(最多10%),以避免被检测。
在“开始”菜单的“启动”目录中添加了一个批处理脚本,以确保在重启之间持续运行,同时在注册表中写入了一个登录时自动启动的键。
有关此次攻击活动的更多详情及其相关的入侵指标,请参阅CrowdStrike的报告。
求职者应始终通过验证电子邮件地址是否属于公司官方域名,并从公司官方页面上联系相关人员来确认对方是否为真正的招聘人员。
请警惕紧急或异常请求、看似过于美好的机会,或要求下载据称招聘所需的可执行文件的邀请。雇主很少(甚至从不)要求候选人在面试过程中下载第三方应用程序,也绝不会要求预先付款。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
