อีเมลล์ข้อเสนองานปลอมของ CrowdStrike มุ่งเป้าไปที่นักพัฒนาด้วยมัลแวร์ขุดคริปโตฯ

CrowdStrike แจ้งเตือนแคมเปญฟิชชิงอีเมลเสนองานปลอมแอบอ้างเป็นบริษัท เพื่อหลอกเป้าหมายให้ติดมัลแวร์ติดมัลแวร์ขุดเหรียญคริปโตฯ Monero (XMRig)

CrowdStrike พบแคมเปญฟิชชิงดังกล่าวเมื่อวันที่ 7 มกราคม 2025 โดยอ้างอิงจากเนื้อหาในอีเมลฟิชชิง คาดว่าแคมเปญนี้อาจเริ่มต้นได้ไม่นานก่อนหน้านี้

การโจมตีเริ่มต้นจากอีเมลฟิชชิงที่ส่งไปยังผู้หางาน โดยแอบอ้างว่าเป็นตัวแทนฝ่ายจัดหางานของ CrowdStrike พร้อมขอบคุณผู้สมัครงานในตำแหน่งนักพัฒนาซอฟต์แวร์ของบริษัท

อีเมลดังกล่าวจะหลอกให้กลุ่มเป้าหมายดาวน์โหลดสิ่งที่อ้างว่าเป็น "แอปพลิเคชัน CRM สำหรับพนักงาน" จากเว็บไซต์ที่ออกแบบให้ดูเหมือนเป็นพอร์ทัลของ CrowdStrike จริง ๆ

โดยอ้างว่าเป็นส่วนหนึ่งของความพยายามของบริษัทในการปรับปรุงกระบวนการรับพนักงานใหม่ให้มีประสิทธิภาพมากขึ้นผ่านการเปิดตัวแอปพลิเคชัน CRM สำหรับผู้สมัครใหม่

ผู้สมัครที่คลิกลิงก์ในอีเมลจะถูกนำไปยังเว็บไซต์ชื่อ ("cscrm-hiring[.]com") ซึ่งมีลิงก์สำหรับดาวน์โหลดแอปพลิเคชันดังกล่าวสำหรับ Windows หรือ macOS

เครื่องมือที่ถูกดาวน์โหลดมาจะทำการตรวจสอบการทำงานของ sandbox ก่อนที่จะดาวน์โหลด payload เพิ่มเติมมาใช้งาน เพื่อให้แน่ใจว่ามันไม่ได้ทำงานอยู่ในสภาพแวดล้อมที่ใช้สำหรับการวิเคราะห์ เช่น การตรวจสอบ process number, จำนวน CPU core และการทำงานของ debugger

เมื่อการตรวจสอบเสร็จสิ้นแล้ว และไม่พบการทำงานบ sandbox แอปพลิเคชันจะสร้างข้อความแสดงข้อผิดพลาดปลอมเพื่อแจ้งให้ทราบว่าไฟล์ติดตั้งอาจเสียหาย

ในเบื้องหลัง downloader จะดึงไฟล์ configuration ที่มีพารามิเตอร์ที่จำเป็นสำหรับการรัน XMRig

จากนั้นมันจะดาวน์โหลดไฟล์ ZIP ที่มีโปรแกรมขุดเหรียญคริปโตฯ จาก GitHub repository และทำการแตกไฟล์ไปยังโฟลเดอร์ '%TEMP%\System.

Apache แก้ไขช่องโหว่ Remote Code Execution (RCE) ระดับ Critical ใน OFBiz

Apache ได้แก้ไขช่องโหว่ระดับ critical ในซอฟต์แวร์โอเพ่นซอร์ส OFBiz (Open For Business) ซึ่งเป็นช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดได้ตามที่ต้องการบนเซิร์ฟเวอร์ Linux และ Windows ที่มีช่องโหว่ (more…)