聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
CrowdStrike 公司提醒称,攻击者正在模拟该公司发送虚假工作邀约邮件,通过门罗币挖矿机 (XMRig) 感染开发人员。
CrowdStrike 公司在2025年1月7日发现该恶意活动,从该钓鱼邮件的内容来看,可能开始时间不算太早。
攻击始于发送给求职者的一份钓鱼邮件,假装来自 CrowdStrike 公司的招聘代理,感谢他们申请该公司的开发人员岗位。该邮件诱骗目标从看似是合法 CrowdStrike 门户的网站下载“员工CRM申请”,并称此举是为了“推出一款新的申请者CRM应用来拉通招聘流程”。点击该嵌入式链接的岗位候选人被引到一个站点 (“cscrm-hiring[.]com”),其中包含适用于 Windows 或 macOS 的上述应用。
所下载的工具在提取其它payload之前会执行沙箱检查,确保它不在分析环境中运行,会检查进程号码、CPU核心数以及调试程序的情况。一旦检查结束,说明受害者具备受感染的条件,那么应用就会生成一条恶意错误信息称安装文件可能受损。该下载器会在后台检索包含用于运行XMRig的所需参数的文本文件。之后会从GitHub 仓库下载包含该挖矿机的ZIP压缩文档并在 '%TEMP%\System\.' 中解压文件。该挖矿机在后台被设置为运行,消耗最小处理能力(最多10%)来避免被检测到。攻击者会在开始目录启动目录添加一个批处理脚本,重启之后仍能保持可持久性,同时会在注册表中编写登录自动启动密钥。
求职者应当验证属于所求职公司的官方域名的邮件地址,并通过官网页面联系相关人员。应警惕紧急或异常请求、好得不真实的工作邀约、在自己电脑上下载可执行文件(通常会以招聘需求为借口)的邀请。招聘单位,极少会要求候选人下载第三方应用参加面试且从来不会要求付款。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
CrowdStrike 宕机后,微软拟让EDR厂商在内核模式外”运行
CrowdStrike:测试软件中的bug导致Windows蓝屏死机
微软紧急提醒开发人员更新 .NET 安装程序,以免遭供应链攻击
Lazarus利用虚假密码管理器编程测试诱骗Python开发人员
原文链接
https://www.bleepingcomputer.com/news/security/fake-crowdstrike-job-offer-emails-target-devs-with-crypto-miners/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
558
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
