CrowdStrike avertit qu’une campagne de phishing usurpe l’identité de la société de cybersécurité dans de faux courriels d’offres d’emploi pour inciter les cibles à s’infecter avec un mineur de crypto-monnaie Monero (XMRig).
L’entreprise a découvert la campagne malveillante le 7 janvier 2025 et, d’après le contenu de l’e-mail de phishing, elle n’a probablement pas commencé beaucoup plus tôt.
L’attaque commence par un e-mail de phishing envoyé aux demandeurs d’emploi, soi-disant d’un agent d’emploi de CrowdStrike, les remerciant d’avoir postulé pour un poste de développeur dans l’entreprise.
L’e-mail demande aux cibles de télécharger une supposée « application CRM pour employés » à partir d’un site Web conçu pour ressembler à un portail de Crowdstrike légitime.
Cela fait soi-disant partie des efforts de l’entreprise pour « rationaliser son processus d’intégration en déployant une nouvelle application CRM pour les candidats. »
Les candidats qui cliquent sur le lien intégré sont dirigés vers un site Web (« cscrm-embauche[.] com ») qui contient des liens pour télécharger ladite application pour Windows ou macOS.
L’outil téléchargé effectue des vérifications de bac à sable avant de récupérer des charges utiles supplémentaires pour s’assurer qu’il ne s’exécute pas dans un environnement d’analyse, comme la vérification du numéro de processus, du nombre de cœurs de processeur et de la présence de débogueurs.
Une fois ces vérifications terminées et le résultat négatif, c’est-à-dire que la victime se qualifie pour l’infection, l’application génère un faux message d’erreur informant que le fichier d’installation est probablement corrompu.
En arrière – plan, le téléchargeur récupère un fichier texte de configuration contenant les paramètres requis pour exécuter XMRig.
Il télécharge ensuite une archive ZIP contenant le mineur à partir d’un référentiel GitHub et décompresse les fichiers dans ‘ %TEMP%\System.’
Le mineur est configuré pour s’exécuter en arrière-plan, consommant une puissance de traitement minimale (maximum 10%) pour éviter la détection.
Un script batch est ajouté dans le répertoire de démarrage du menu Démarrer pour la persistance entre les redémarrages, tandis qu’une clé de démarrage automatique d’ouverture de session est également écrite dans le registre.
Vous trouverez plus de détails sur la campagne et les indicateurs de compromission qui y sont associés dans le rapport de Crowdstrike.
Les demandeurs d’emploi doivent toujours confirmer qu’ils parlent à un recruteur réel en vérifiant que l’adresse e-mail appartient au domaine officiel de l’entreprise et en contactant cette personne à partir de la page officielle de l’entreprise.
Méfiez-vous des demandes urgentes ou inhabituelles, des offres trop belles pour être vraies, ou des invitations à télécharger des fichiers exécutables sur votre ordinateur, soi-disant nécessaires au recrutement.
Les employeurs exigent rarement, voire jamais, que les candidats téléchargent des candidatures tierces dans le cadre d’un processus d’entrevue et ne demandent jamais de paiements initiaux.