Компания CrowdStrike предупреждает о фишинговой кампании, которая использует ее собственный бренд для распространения криптовалютного майнера. Мошенники замаскировали майнер под CRM-приложение, якобы используемое в процессе найма. Атака начинается с фишингового письма от имени рекрутера CrowdStrike, в котором получателей направляют на вредоносный веб-сайт. Жертвам предлагается загрузить и запустить поддельное приложение, которое на самом деле является загрузчиком криптомайнера.
Описание
Фишинговое письмо заманивает получателей, уведомляя их о том, что они были выбраны для следующего этапа процесса найма на должность младшего разработчика. Чтобы присоединиться к команде по найму, получателям предлагается загрузить инструмент управления взаимоотношениями с клиентами (CRM) по ссылке в письме. Загруженный файл выполняет ряд проверок, чтобы избежать обнаружения и анализа, а затем загружает майнер на компьютер жертвы.
Другая кибербезопасная компания Trend Micro обнаружила, что поддельный концепт (proof-of-concept, PoC) для уязвимости LDAPNightmare (CVE-2024-49113), которая затрагивает протокол LDAP в Windows, используется для привлечения исследователей безопасности и загрузки программы для кражи информации. Поддельный репозиторий GitHub содержит измененные файлы, связанные с PoC, которые вместо этого являются вредоносными файлами. При запуске эти файлы выполняют скрипт PowerShell, который создает запланированную задачу для выполнения другого скрипта с Pastebin. Затем вредоносная программа собирает информацию о системе, такую как IP-адрес, список процессов, каталоги и установленные обновления.
Обе эти атаки представляют опасность для безопасности пользователей и исследователей безопасности. Обманывая получателей фишинговыми письмами и подделанными PoC, злоумышленники могут получить доступ к системам и украсть информацию. Пользователям следует быть бдительными и не открывать подозрительные ссылки или загружать неизвестные файлы, особенно если они приходят от неизвестных отправителей или предлагаются в контексте найма на работу или безопасности системы.
Indicators of Compromise
IPv4
- 93.115.172.41
