Perusahaan keamanan siber CrowdStrike memperingatkan adanya kampanye phishing yang mengeksploitasi mereknya sendiri untuk mendistribusikan penambang mata uang kripto yang menyamar sebagai aplikasi CRM karyawan sebagai bagian dari proses perekrutan.
“Serangan itu dimulai dengan email phishing yang meniru perekrutan CrowdStrike, mengarahkan penerima ke situs web jahat,” kata perusahaan itu. “Korban diminta mengunduh dan menjalankan aplikasi palsu, yang berfungsi sebagai pengunduh untuk cryptominer XMRig.”
Perusahaan yang berbasis di Texas tersebut mengatakan bahwa mereka menemukan kampanye jahat tersebut pada tanggal 7 Januari 2025, dan bahwa mereka “mengetahui adanya penipuan yang melibatkan tawaran pekerjaan palsu dengan CrowdStrike.”
Email phishing memikat penerima dengan mengklaim bahwa mereka telah terpilih untuk tahap berikutnya dalam proses perekrutan untuk peran pengembang junior, dan bahwa mereka perlu bergabung dalam panggilan dengan tim rekrutmen dengan mengunduh alat manajemen hubungan pelanggan (CRM) yang disediakan di tautan yang tertanam.
Biner yang diunduh, setelah diluncurkan, melakukan serangkaian pemeriksaan untuk menghindari deteksi dan analisis sebelum mengambil muatan tahap berikutnya.
Pemeriksaan ini termasuk mendeteksi keberadaan debugger dan memindai daftar proses yang berjalan untuk analisis malware atau perangkat lunak virtualisasi. Mereka juga memastikan bahwa sistem memiliki sejumlah proses aktif dan CPU memiliki setidaknya dua inti.
Jika host memenuhi semua kriteria, pesan kesalahan tentang instalasi yang gagal ditampilkan kepada pengguna, sementara secara diam-diam mengunduh penambang XMRig dari GitHub dan konfigurasi terkait dari server lain (“93.115.172[.]41”) di latar belakang.
“Malware kemudian menjalankan penambang XMRig, menggunakan argumen baris perintah di dalam file teks konfigurasi yang diunduh,” kata CrowdStrike, menambahkan bahwa executable tersebut akan membangun persistensi pada mesin dengan menambahkan skrip batch Windows ke folder Start Menu Startup, yang bertanggung jawab untuk meluncurkan penambang.
PoC LDAPNightmare Palsu Menargetkan Peneliti Keamanan
Perkembangan ini terjadi ketika Trend Micro mengungkapkan bahwa bukti konsep (PoC) palsu untuk kelemahan keamanan yang baru-baru ini diungkapkan dalam Protokol Akses Direktori Ringan (LDAP) Microsoft Windows – CVE-2024-49113 (alias LDAPNightmare) – digunakan untuk memikat peneliti keamanan mengunduh pencuri informasi.”
Repositori GitHub berbahaya yang dimaksud – github[.]com/YoonJae-rep/CVE-2024-49113 (sekarang dihapus) – dikatakan sebagai cabang dari repositori asli dari SafeBreach Labs yang menampung PoC yang sah.
Namun, repositori palsu menggantikan file terkait eksploitasi dengan biner bernama “poc.exe” yang, ketika dijalankan, akan menghapus skrip PowerShell untuk membuat tugas terjadwal guna mengeksekusi skrip yang dikodekan Base64. Skrip yang didekodekan kemudian digunakan untuk mengunduh skrip lain dari Pastebin.
Malware tahap akhir adalah pencuri yang mengumpulkan alamat IP publik mesin, metadata sistem, daftar proses, daftar direktori, alamat IP jaringan, adaptor jaringan, dan pembaruan yang diinstal.
“Meskipun taktik menggunakan umpan PoC sebagai sarana pengiriman malware bukanlah hal baru, serangan ini masih menimbulkan kekhawatiran yang signifikan, terutama karena serangan ini memanfaatkan isu yang sedang tren yang berpotensi berdampak pada lebih banyak korban,” kata peneliti keamanan Sarah Pearl Camiling. .
