CrowdStrike แจ้งเตือนแคมเปญฟิชชิงอีเมลเสนองานปลอมแอบอ้างเป็นบริษัท เพื่อหลอกเป้าหมายให้ติดมัลแวร์ติดมัลแวร์ขุดเหรียญคริปโตฯ Monero (XMRig)
CrowdStrike พบแคมเปญฟิชชิงดังกล่าวเมื่อวันที่ 7 มกราคม 2025 โดยอ้างอิงจากเนื้อหาในอีเมลฟิชชิง คาดว่าแคมเปญนี้อาจเริ่มต้นได้ไม่นานก่อนหน้านี้
การโจมตีเริ่มต้นจากอีเมลฟิชชิงที่ส่งไปยังผู้หางาน โดยแอบอ้างว่าเป็นตัวแทนฝ่ายจัดหางานของ CrowdStrike พร้อมขอบคุณผู้สมัครงานในตำแหน่งนักพัฒนาซอฟต์แวร์ของบริษัท
อีเมลดังกล่าวจะหลอกให้กลุ่มเป้าหมายดาวน์โหลดสิ่งที่อ้างว่าเป็น "แอปพลิเคชัน CRM สำหรับพนักงาน" จากเว็บไซต์ที่ออกแบบให้ดูเหมือนเป็นพอร์ทัลของ CrowdStrike จริง ๆ
โดยอ้างว่าเป็นส่วนหนึ่งของความพยายามของบริษัทในการปรับปรุงกระบวนการรับพนักงานใหม่ให้มีประสิทธิภาพมากขึ้นผ่านการเปิดตัวแอปพลิเคชัน CRM สำหรับผู้สมัครใหม่
ผู้สมัครที่คลิกลิงก์ในอีเมลจะถูกนำไปยังเว็บไซต์ชื่อ ("cscrm-hiring[.]com") ซึ่งมีลิงก์สำหรับดาวน์โหลดแอปพลิเคชันดังกล่าวสำหรับ Windows หรือ macOS
เครื่องมือที่ถูกดาวน์โหลดมาจะทำการตรวจสอบการทำงานของ sandbox ก่อนที่จะดาวน์โหลด payload เพิ่มเติมมาใช้งาน เพื่อให้แน่ใจว่ามันไม่ได้ทำงานอยู่ในสภาพแวดล้อมที่ใช้สำหรับการวิเคราะห์ เช่น การตรวจสอบ process number, จำนวน CPU core และการทำงานของ debugger
เมื่อการตรวจสอบเสร็จสิ้นแล้ว และไม่พบการทำงานบ sandbox แอปพลิเคชันจะสร้างข้อความแสดงข้อผิดพลาดปลอมเพื่อแจ้งให้ทราบว่าไฟล์ติดตั้งอาจเสียหาย
ในเบื้องหลัง downloader จะดึงไฟล์ configuration ที่มีพารามิเตอร์ที่จำเป็นสำหรับการรัน XMRig
จากนั้นมันจะดาวน์โหลดไฟล์ ZIP ที่มีโปรแกรมขุดเหรียญคริปโตฯ จาก GitHub repository และทำการแตกไฟล์ไปยังโฟลเดอร์ '%TEMP%\System.'
โปรแกรมขุดเหรียญคริปโตฯ ถูกตั้งค่าให้ทำงานในเบื้องหลัง โดยใช้กำลังประมวลผลเพียงเล็กน้อย (สูงสุด 10%) เพื่อหลีกเลี่ยงการถูกตรวจจับ
ชุดสคริปต์จะถูกเพิ่มไว้ในไดเรกทอรี Startup ของเมนู Start เพื่อความต่อเนื่องหลังจากการรีบูต ในขณะที่คีย์การเริ่มการเข้าสู่ระบบอัตโนมัติจะถูกเขียนลงในรีจิสทรีด้วย
รายละเอียดเพิ่มเติมเกี่ยวกับแคมเปญนี้ และ IOCs สามารถดูได้จากรายงานของ CrowdStrike www.crowdstrike.com
ผู้หางานควรตรวจสอบให้แน่ใจว่าตนเองกำลังพูดคุยกับผู้รับสมัครงานของบริษัทจริง โดยตรวจสอบว่าอีเมลที่ใช้นั้นเป็นของโดเมนบริษัทอย่างเป็นทางการ และติดต่อบุคคลนั้นผ่านทางช่องทางของบริษัทอย่างเป็นทางการ
ควรระมัดระวังคำขอที่เร่งด่วน หรือผิดปกติ ข้อเสนอที่ดูดีเกินจริง หรือการดาวน์โหลดไฟล์ปฏิบัติการลงในคอมพิวเตอร์ โดยอ้างว่าเป็นสิ่งจำเป็นสำหรับการสมัครงาน
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.