2 min Security

Valse CrowdStrike-vacatures richten zich op developers

Valse CrowdStrike-vacatures richten zich op developers

CrowdStrike waarschuwt dat een phishing-campagne het securitybedrijf nabootst. In de nep-e-mails staan vacatures om ontvangers te misleiden zichzelf te infecteren met een Monero-cryptominer (XMRig).

Het bedrijf ontdekte de schadelijke campagne op 7 januari 2025. Op basis van de inhoud van de phishing-e-mail is het waarschijnlijk dat de campagne niet veel eerder is begonnen.

De aanval begint met een phishing-e-mail die criminelen naar werkzoekenden sturen. De mail komt zogenaamd van een CrowdStrike-medewerker. Hierin bedankt men de ontvanger voor het solliciteren naar een ontwikkelaarsfunctie bij het bedrijf.

Onboardingproces stroomlijnen

De e-mail instrueert de slachtoffers om een employee CRM-applicatie te downloaden. Die staat op een website die lijkt op een legitiem CrowdStrike-portal. De applicatie zou zogenaamd deel uitmaken van de inspanningen van het bedrijf om het onboardingproces te stroomlijnen.

Kandidaten die op de ingebedde link klikken, worden doorgestuurd naar een website met links om de genoemde applicatie te downloaden voor Windows of macOS. De gedownloade tool voert controles uit om te bepalen of deze in een analyseomgeving draait, zoals het controleren van het procesnummer, het aantal CPU-kernen en de aanwezigheid van debuggers.

Nep-foutmelding

Na het voltooien van deze controles, en als de uitkomst negatief is (oftewel: het slachtoffer voldoet aan de infectiecriteria), genereert de applicatie een nep-foutmelding. Daarin melden de aanvallers dat het installatiebestand waarschijnlijk corrupt is.

Op de achtergrond haalt de downloader een configuratietekstbestand op met de benodigde parameters voor het uitvoeren van XMRig.

Vervolgens downloadt hij een ZIP-archief met de miner vanuit een GitHub-repository en pakt de bestanden uit. De miner wordt ingesteld om op de achtergrond te draaien en verbruikt slechts minimale verwerkingskracht (maximaal 10%) om detectie te voorkomen. Een batchscript wordt toegevoegd in de map Opstarten van het Startmenu voor persistentie tussen herstarts, en een autostart-sleutel wordt geschreven in het register.

Meer details over de campagne en indicatoren van compromittering zijn te vinden in CrowdStrike’s rapport.