A empresa de cibersegurança CrowdStrike está alertando sobre uma campanha de phishing que explora sua própria marca para distribuir um minerador de criptomoedas disfarçado de aplicativo de CRM de funcionários como parte de um suposto processo de recrutamento.
"A ataque começa com um e-mail de phishing que se passa por recrutamento da CrowdStrike, direcionando os destinatários para um site malicioso," disse a empresa.
As vítimas são induzidas a baixar e executar um aplicativo falso, que serve como um downloader para o minerador de criptomoedas XMRig.
A empresa, com sede no Texas, disse que descobriu a campanha maliciosa em 7 de janeiro de 2025, e que está "ciente de golpes envolvendo falsas ofertas de emprego com a CrowdStrike."
O e-mail de phishing atrai os destinatários ao afirmar que eles foram pré-selecionados para a próxima etapa do processo de contratação para uma vaga de desenvolvedor júnior, e que precisam participar de uma chamada com a equipe de recrutamento baixando uma ferramenta de gestão de relacionamento com o cliente (CRM) fornecida no link embutido.
O binário baixado, uma vez lançado, realiza uma série de verificações para evitar detecção e análise antes de buscar os payloads da próxima etapa.
Essas verificações incluem detectar a presença de um debugger e escanear a lista de processos em execução para ferramentas de análise de malware ou software de virtualização.
Elas também garantem que o sistema tenha um certo número de processos ativos e que a CPU tenha pelo menos dois núcleos.
Caso o host atenda a todos os critérios, uma mensagem de erro sobre uma instalação falha é exibida para o usuário, enquanto, secretamente, o minerador XMRig é baixado do GitHub e sua configuração correspondente de outro servidor ("93.115.172[.]41") em segundo plano.
"O malware então executa o minerador XMRig, usando os argumentos de linha de comando dentro do arquivo de texto de configuração baixado," disse a CrowdStrike, acrescentando que o executável estabelece persistência na máquina adicionando um script em lote do Windows à pasta de inicialização do Menu Iniciar, que é responsável por iniciar o minerador.
Falso LDAPNightmare PoC visa Pesquisadores de Segurança
O desenvolvimento ocorre enquanto a Trend Micro revelou que um falso proof-of-concept (PoC) para uma falha de segurança recentemente divulgada no Protocolo de Acesso a Diretórios Leves (LDAP) do Windows da Microsoft -
CVE-2024-49113
(conhecido como LDAPNightmare) - está sendo usado para atrair pesquisadores de segurança para baixar um ladrão de informações."
O repositório malicioso no GitHub em questão - github[.]com/YoonJae-rep/
CVE-2024-49113
(agora removido) - dizem ser um fork do repositório original do SafeBreach Labs hospedando o PoC legítimo.
O repositório falso, no entanto, substitui os arquivos relacionados ao exploit por um binário chamado "poc.exe" que, ao ser executado, solta um script PowerShell para criar uma tarefa agendada para executar um script codificado em Base64.
O script decodificado é então usado para baixar outro script do Pastebin.
O malware da fase final é um stealer que coleta o endereço IP público da máquina, metadados do sistema, lista de processos, listas de diretórios, endereços IP de rede, adaptadores de rede e atualizações instaladas.
"Embora a tática de usar iscas de PoC como veículo para entrega de malware não seja nova, este ataque ainda representa preocupações significativas, especialmente porque capitaliza em uma questão tendência que poderia potencialmente afetar um número maior de vítimas," disse a pesquisadora de segurança Sarah Pearl Camiling.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...