据BleepingComputer消息,CrowdStrike近日发出一则提醒,称一个网络钓鱼活动冒充自己发布虚假招聘,以借此向受害者传播门罗币加密货币矿工 (XMRig) 。
该公司于 2025 年 1 月 7 日发现了这一恶意活动,钓鱼邮件称自己来自CrowdStrike 就业代理,邀请受害者下载一个看似合法的“员工 CRM 应用程序”,称该程序是为了帮助应聘者简化入职流程。
发送给求职者的电子邮件
一旦点击应用程序下载链接,受害者将被带到一个网站(cscrm-hiring[.]com),其中包含下载适用于 Windows 或 macOS系统的上述应用程序链接。
软件下载页面
下载的程序在获取附加有效载荷前会执行沙盒检查,以确保不是在分析环境中运行,例如检查进程数、CPU 核心数和是否存在调试器。一旦检查结束并判断受害者系统符合感染条件,应用程序就会生成一条虚假的错误消息,通知安装程序文件可能已损坏。
虚假的报错消息
在后台,下载程序会检索一个配置文本文件,其中包含运行 XMRig 所需的参数,随后从 GitHub 存储库下载包含挖矿程序的 ZIP 存档,并将文件解压缩到“%TEMP%\System\”中。
矿工设置为在后台运行,并将功耗设置在系统的10%以内以避免被发现。
挖矿进程在 Start Menu Startup 目录中添加了一个批处理脚本,以便在重新启动之间保持持久性,同时登录自动启动键也会写入注册表中。
CrowdStrike表示不会要求应聘者下载软件,并提醒用户注意验证招聘信息的真实性,从公司官方渠道获得招聘信息。
