L'azienda di sicurezza informatica CrowdStrike ha recentemente emesso un avviso riguardante una campagna di phishing che sfrutta il loro marchio per diffondere un miner di criptovalute, mascherato come un'applicazione CRM per dipendenti, nell'ambito di un presunto processo di reclutamento. L'attacco inizia con un'email di phishing che imita la comunicazione di reclutamento di CrowdStrike, indirizzando i destinatari a un sito web dannoso. Le vittime sono invitate a scaricare e avviare una falsa applicazione che funge da downloader per il miner di criptovalute XMRig.

La società con sede in Texas ha individuato la campagna il 7 gennaio 2025 e ha dichiarato di essere consapevole di truffe che offrono false opportunità di lavoro presso CrowdStrike. L'email di phishing attira i destinatari affermando che sono stati selezionati per la fase successiva del processo di assunzione per un ruolo di sviluppatore junior e che devono partecipare a una chiamata con il team di reclutamento scaricando uno strumento di gestione delle relazioni con i clienti (CRM) fornito nel link incorporato.

Il file binario scaricato, una volta avviato, esegue una serie di controlli per evitare il rilevamento e l'analisi prima di scaricare i payload della fase successiva. Questi controlli includono il rilevamento della presenza di un debugger e la scansione dell'elenco dei processi in esecuzione per strumenti di analisi malware o software di virtualizzazione. Si assicurano inoltre che il sistema abbia un certo numero di processi attivi e che la CPU abbia almeno due core.

Se l'host soddisfa tutti i criteri, viene visualizzato un messaggio di errore riguardante un'installazione fallita all'utente, mentre in sottofondo viene scaricato il miner XMRig da GitHub e la sua configurazione corrispondente da un altro server. Il malware esegue quindi il miner XMRig utilizzando gli argomenti della riga di comando all'interno del file di configurazione scaricato. CrowdStrike ha aggiunto che l'eseguibile stabilisce la persistenza sulla macchina aggiungendo uno script batch di Windows alla cartella di avvio del menu Start, responsabile dell'avvio del miner.

Questo sviluppo arriva mentre Trend Micro ha rivelato che un falso proof-of-concept (PoC) per una vulnerabilità di sicurezza recentemente scoperta nel protocollo LDAP di Windows di Microsoft viene utilizzato per attirare i ricercatori di sicurezza nel scaricare un ladro di informazioni.