Crowdstrike

CrowdStrikeは、サイバーセキュリティ企業になりすまして偽の求人メールを送りつけ、標的を騙してMonero暗号通貨マイナー(XMRig)に感染させるフィッシングキャンペーンが行われていると警告している。

同社はこの悪質なキャンペーンを2025年1月7日に発見したが、フィッシングメールの内容からすると、それ以前には始まっていなかった可能性が高い。

この攻撃は、CrowdStrikeの採用エージェントからと思われるフィッシングメールが求職者に送信され、同社の開発者ポジションに応募してくれたことに感謝することから始まる。

Email sent to targets
求職者に送られたメール
ソースはこちら:クラウドストライク

このメールは、Crowdstrike の正規のポータルのように見せかけたウェブサイトから、「従業員 CRM アプリケーション」と思われるものをダウンロードするように誘導している。

これは、「新しい応募者CRMアプリを展開することで、オンボーディングプロセスを合理化する」という同社の取り組みの一環とされています。

埋め込まれたリンクをクリックした求職者は、WindowsまたはmacOS用のアプリケーションをダウンロードするためのリンクを含むウェブサイト(”ccrm-hiring[.]com”)に移動します。

Malicious website abusing the Crowdstrike brand
Crowdstrike ブランドを悪用した悪質なウェブサイト
Source:クラウドストライク

ダウンロードされたツールは、追加のペイロードを取得する前に、プロセス番号、CPUコア数、デバッガの有無などをチェックし、解析環境で実行されていないことを確認するサンドボックスチェックを行います。

これらのチェックが終了し、結果が陰性、つまり被害者が感染の対象となると、アプリケーションは、インストーラファイルが破損している可能性があることを知らせる偽のエラーメッセージを生成します。

Fake error message
偽のエラーメッセージ
クラウドストライク

ダウンローダーはバックグラウンドで、XMRigを実行するために必要なパラメータを含む設定テキストファイルを取得します。

その後、GitHubリポジトリからマイナーを含むZIPアーカイブをダウンロードし、「%TEMP%System」にあるファイルを解凍する。

マイナーはバックグラウンドで実行されるように設定され、検出を避けるために最小限の処理能力(最大10%)を消費する。

スタートメニューのスタートアップディレクトリにバッチスクリプトが追加され、リブート間の持続性を確保し、ログオンの自動スタートキーもレジストリに書き込まれる。

このキャンペーンの詳細と、キャンペーンに関連する侵害の指標は、Crowdstrikeのレポートに記載されています。

求職者は、メールアドレスが会社の公式ドメインのものであることを確認し、会社の公式ページからその担当者に連絡することで、実際の採用担当者と話していることを常に確認する必要がある。

急を要する、あるいは通常とは異なる要求や、事実と異なるオファー、あるいは採用に必要だと思われる実行ファイルをコンピューターにダウンロードさせるような誘いには気をつけましょう。

雇用主が面接プロセスの一環として、候補者に第三者のアプリケーションのダウンロードを要求することはほとんどありませんし、前払いを要求することもありません。