Les cryptojackers se font passer pour Crowdstrike par courrier électronique pour inciter les développeurs à installer involontairement le mineur de crypto-monnaie XMRig sur leur PC Windows, a averti la société.
L’e-mail
Crowdstrike dispose d’une page Web où les chercheurs d’emploi peuvent voir quels postes sont ouverts dans l’entreprise et postuler pour un emploi.
La recherche d’emploi est souvent un processus éprouvant impliquant de nombreuses candidatures envoyées à de nombreuses entreprises différentes, et les escrocs à l’origine de ce stratagème parient sur certaines des cibles ayant déjà postulé pour un emploi chez Crowdstrike (ou croyant l’avoir fait).
L’e-mail de phishing usurpe l’identité de l’entreprise et demande à la victime potentielle d’accéder à une application de bureau pour planifier son entretien.
Pour télécharger la « nouvelle application CRM pour candidats et employés », ils sont dirigés vers un site de marque Crowdstrike censé fournir une version Windows ou macOS à télécharger.
Le faux site malveillant Crowdstrike (Source : Crowstrike)
En réalité, les deux boutons de téléchargement déclenchent le téléchargement du même exécutable malveillant, qui ne peut cibler que les machines Windows.
La charge utile malveillante
Le fichier ZIP téléchargé contient un exécutable qui, une fois exécuté, vérifie la présence d’un débogueur, d’outils d’analyse de logiciels malveillants et de virtualisation, et si le système cible dispose d’un processeur avec au moins deux cœurs et d’un nombre minimum de processus actifs.
S’il ne trouve pas ces outils et si ces dernières conditions sont remplies, l’exécutable affiche un faux message d’erreur :
En arrière-plan, cependant, l’exécutable télécharge également une copie de XMRig depuis GitHub et un fichier de configuration texte.
Une fois le mineur installé et configuré, l’exécutable crée une copie du mineur et ajoute une nouvelle clé de démarrage automatique de connexion au registre Windows pour que le mineur commence à fonctionner à chaque redémarrage du système. Le mineur utilise également un minimum de ressources CPU pour éviter la détection.
Exploiter les points faibles des utilisateurs
Les offres d’emploi ou les opportunités d’entretien pour un emploi bien rémunéré sont fréquemment utilisées comme leurre par les cryptojackers, les escrocs et les colporteurs de logiciels malveillants qui jettent un large filet, ainsi que par les courtiers d’accès initial, les affiliés de ransomwares et les groupes APT parrainés par l’État à la recherche d’un moyen. dans des organisations spécifiques.
Crowdstrike a mis en garde contre cette campagne très récente, mais affirme être également au courant d’escroqueries impliquant de fausses offres d’emploi chez CrowdStrike.
« Les entretiens et offres d’emploi frauduleux utilisent de faux sites Web, adresses e-mail, discussions de groupe et messages texte », a noté l’entreprise, soulignant qu’elles :
- N’interviewez pas de candidats potentiels par message instantané ou par chat de groupe
- N’exigez pas des candidats qu’ils achètent des produits ou des services, qu’ils traitent les paiements au nom de l’entreprise ou qu’ils téléchargent un logiciel pour des entretiens.
« Cette campagne souligne l’importance de la vigilance face aux escroqueries par phishing, notamment celles ciblant les demandeurs d’emploi. Les personnes participant au processus de recrutement doivent vérifier l’authenticité des communications CrowdStrike et éviter de télécharger des fichiers non sollicités », ont-ils ajouté.