Công ty an ninh mạng CrowdStrike vừa phát đi cảnh báo về một chiến dịch phishing lợi dụng thương hiệu của chính họ để phát tán một cryptocurrency miner ngụy trang dưới dạng phần mềm CRM, được giới thiệu là một phần trong quá trình tuyển dụng.
Theo CrowdStrike, cuộc tấn công bắt đầu bằng email phishing giả danh đội ngũ tuyển dụng, dụ nạn nhân truy cập một trang web độc hại. Email thông báo họ được chọn vào vòng tuyển dụng tiếp theo cho vị trí Junior Developer. Để tham gia buổi họp với nhóm tuyển dụng, nạn nhân cần tải xuống một phần mềm CRM từ liên kết được cung cấp.
Khi tệp binary được tải xuống và khởi chạy, nó thực hiện hàng loạt kiểm tra nhằm né tránh việc bị phát hiện hoặc phân tích, bao gồm phát hiện debugger, quét danh sách các process đang chạy để tìm công cụ phân tích malware hoặc phần mềm ảo hóa. Nó cũng kiểm tra xem hệ thống có đủ số lượng process hoạt động và CPU có ít nhất hai lõi hay không.
Nếu máy chủ đáp ứng tất cả các tiêu chí, một thông báo lỗi cài đặt giả sẽ hiện lên, trong khi XMRig miner được tải ngầm từ GitHub và từ một server khác (93.115.172[.]41). Mặc dù việc sử dụng PoC làm phương tiện phát tán malware không còn xa lạ, nhưng cuộc tấn công lần này vẫn dấy lên mối nguy lớn làm gia tăng nguy cơ ảnh hưởng đến nhiều nạn nhân.
