อีเมลล์ข้อเสนองานปลอมของ CrowdStrike มุ่งเป้าไปที่นักพัฒนาด้วยมัลแวร์ขุดคริปโตฯ

CrowdStrike แจ้งเตือนแคมเปญฟิชชิงอีเมลเสนองานปลอมแอบอ้างเป็นบริษัท เพื่อหลอกเป้าหมายให้ติดมัลแวร์ติดมัลแวร์ขุดเหรียญคริปโตฯ Monero (XMRig)

CrowdStrike พบแคมเปญฟิชชิงดังกล่าวเมื่อวันที่ 7 มกราคม 2025 โดยอ้างอิงจากเนื้อหาในอีเมลฟิชชิง คาดว่าแคมเปญนี้อาจเริ่มต้นได้ไม่นานก่อนหน้านี้

การโจมตีเริ่มต้นจากอีเมลฟิชชิงที่ส่งไปยังผู้หางาน โดยแอบอ้างว่าเป็นตัวแทนฝ่ายจัดหางานของ CrowdStrike พร้อมขอบคุณผู้สมัครงานในตำแหน่งนักพัฒนาซอฟต์แวร์ของบริษัท

อีเมลดังกล่าวจะหลอกให้กลุ่มเป้าหมายดาวน์โหลดสิ่งที่อ้างว่าเป็น "แอปพลิเคชัน CRM สำหรับพนักงาน" จากเว็บไซต์ที่ออกแบบให้ดูเหมือนเป็นพอร์ทัลของ CrowdStrike จริง ๆ

โดยอ้างว่าเป็นส่วนหนึ่งของความพยายามของบริษัทในการปรับปรุงกระบวนการรับพนักงานใหม่ให้มีประสิทธิภาพมากขึ้นผ่านการเปิดตัวแอปพลิเคชัน CRM สำหรับผู้สมัครใหม่

ผู้สมัครที่คลิกลิงก์ในอีเมลจะถูกนำไปยังเว็บไซต์ชื่อ ("cscrm-hiring[.]com") ซึ่งมีลิงก์สำหรับดาวน์โหลดแอปพลิเคชันดังกล่าวสำหรับ Windows หรือ macOS

เครื่องมือที่ถูกดาวน์โหลดมาจะทำการตรวจสอบการทำงานของ sandbox ก่อนที่จะดาวน์โหลด payload เพิ่มเติมมาใช้งาน เพื่อให้แน่ใจว่ามันไม่ได้ทำงานอยู่ในสภาพแวดล้อมที่ใช้สำหรับการวิเคราะห์ เช่น การตรวจสอบ process number, จำนวน CPU core และการทำงานของ debugger

เมื่อการตรวจสอบเสร็จสิ้นแล้ว และไม่พบการทำงานบ sandbox แอปพลิเคชันจะสร้างข้อความแสดงข้อผิดพลาดปลอมเพื่อแจ้งให้ทราบว่าไฟล์ติดตั้งอาจเสียหาย

ในเบื้องหลัง downloader จะดึงไฟล์ configuration ที่มีพารามิเตอร์ที่จำเป็นสำหรับการรัน XMRig

จากนั้นมันจะดาวน์โหลดไฟล์ ZIP ที่มีโปรแกรมขุดเหรียญคริปโตฯ จาก GitHub repository และทำการแตกไฟล์ไปยังโฟลเดอร์ '%TEMP%\System.'

โปรแกรมขุดเหรียญคริปโตฯ ถูกตั้งค่าให้ทำงานในเบื้องหลัง โดยใช้กำลังประมวลผลเพียงเล็กน้อย (สูงสุด 10%) เพื่อหลีกเลี่ยงการถูกตรวจจับ

ชุดสคริปต์จะถูกเพิ่มไว้ในไดเรกทอรี Startup ของเมนู Start เพื่อความต่อเนื่องหลังจากการรีบูต ในขณะที่คีย์การเริ่มการเข้าสู่ระบบอัตโนมัติจะถูกเขียนลงในรีจิสทรีด้วย

รายละเอียดเพิ่มเติมเกี่ยวกับแคมเปญนี้ และ IOCs สามารถดูได้จากรายงานของ CrowdStrike  www.crowdstrike.com

ผู้หางานควรตรวจสอบให้แน่ใจว่าตนเองกำลังพูดคุยกับผู้รับสมัครงานของบริษัทจริง โดยตรวจสอบว่าอีเมลที่ใช้นั้นเป็นของโดเมนบริษัทอย่างเป็นทางการ และติดต่อบุคคลนั้นผ่านทางช่องทางของบริษัทอย่างเป็นทางการ

ควรระมัดระวังคำขอที่เร่งด่วน หรือผิดปกติ ข้อเสนอที่ดูดีเกินจริง หรือการดาวน์โหลดไฟล์ปฏิบัติการลงในคอมพิวเตอร์ โดยอ้างว่าเป็นสิ่งจำเป็นสำหรับการสมัครงาน

ที่มา : bleepingcomputer.com