Специалисты CrowdStrike выявили фишинговую кампанию, в ходе которой киберпреступники представляются сотрудниками одной из ведущих мировых компаний в сфере кибербезопасности. Злоумышленники используют поддельные письма с предложениями о трудоустройстве, чтобы обманом заразить устройства жертв майнером криптовалюты Monero (XMRig).
Зарегистрированная активность вредоносной кампании датируется 7 января 2025 года. Анализ содержания поддельных писем позволяет предположить, что атака началась незадолго до этой даты.
Вектор распространения и механизмы социальной инженерии
Фишинговые письма ориентированы на соискателей, которым якобы от лица CrowdStrike приходит подтверждение получения их заявки на позицию разработчика. В письме содержится ссылка на загрузку так называемого «CRM-приложения для сотрудников». Поддельный сайт, на который ведёт ссылка, визуально копирует официальный портал CrowdStrike (“cscrm-hiring[.]com”), что делает атаку особенно убедительной.
После перехода по ссылке жертве предлагается скачать программное обеспечение для Windows и macOS. Злоумышленники внедрили механизмы защиты от анализа в виртуальной среде: программа проверяет число процессоров, наличие отладочных инструментов и иных признаков работы в песочнице. Если потенциальная угроза детектирования отсутствует, приложение инициирует подгрузку вредоносного кода.
Технический анализ вредоносного ПО
При успешном обходе защитных механизмов:
- Загружается конфигурационный файл, необходимый для работы XMRig.
- Из репозитория GitHub скачивается архив с исполняемыми файлами майнера.
- Распаковка происходит в директорию %TEMP%\System\, где ПО активируется.
Для обеспечения скрытности:
- Майнер настроен на минимальное потребление ресурсов, снижая вероятность обнаружения пользователем.
- Автозапуск вредоносного ПО обеспечивается через добавление записей в реестр и папку автозагрузки в меню «Пуск».
Глобальные тренды и рекомендации по защите
Использование социальной инженерии в сочетании с поддельными доменами и продвинутыми методами обхода защиты указывает на рост числа таргетированных атак на специалистов IT-сферы. Подобные схемы становятся частью общей тенденции кибермошенничества, направленной на компрометацию профессионалов и организаций.
Рекомендации по защите:
- Проверять домены отправителей и сайты, предлагающие загрузку программного обеспечения. Настоящие рекрутинговые предложения от крупных компаний никогда не требуют скачивания исполняемых файлов.
- Использовать инструменты анализа URL и DNS для выявления поддельных доменов.
- Активировать средства защиты от вредоносного ПО и песочничные анализаторы для детектирования вредоносных процессов.
- Настроить мониторинг сетевого трафика для выявления аномальных соединений, например, обращения к репозиториям с вредоносным кодом.
- Ограничить автозапуск неизвестных приложений в системных настройках и реестре.
Данный инцидент демонстрирует, что мошенники продолжают использовать брендированные атаки, играя на доверии пользователей к крупным компаниям в сфере кибербезопасности. Внимательность при обработке входящих сообщений и соблюдение правил кибергигиены остаются ключевыми мерами защиты от подобных угроз.
Оригинал публикации на сайте CISOCLUB: "Злоумышленники используют фальшивые предложения о работе для распространения майнера Monero".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.