Thought Leadership
CrowdStrike warnt vor einer ausgefeilten Phishing-Kampagne, die potenzielle Bewerber ins Visier nimmt. Die Angreifer tarnen dabei einen XMRig-Kryptominer als vermeintliche CRM-Anwendung für den Bewerbungsprozess.
Der Cybersecurity-Anbieter entdeckte die Betrugsmasche am 7. Januar. Die Täter versenden gefälschte Recruiting-E-Mails, in denen sie Empfängern eine Position als Junior-Entwickler in Aussicht stellen. Für ein angebliches Vorstellungsgespräch sollen die Opfer eine spezielle CRM-Software herunterladen.
Ausgeklügelte Tarnstrategie
Die als CRM getarnte Schadsoftware führt nach dem Start zunächst verschiedene Prüfungen durch, um eine Analyse zu erschweren. Sie sucht etwa nach Debugging-Tools oder Virtualisierungssoftware und überprüft die Anzahl laufender Prozesse sowie verfügbarer CPU-Kerne.
Sind diese Checks erfolgreich, täuscht das Programm eine fehlgeschlagene Installation vor. Zeitgleich lädt es im Hintergrund den XMRig-Miner von GitHub herunter und bezieht die zugehörige Konfiguration von einem separaten Server unter der Adresse 93.115.172[.]41.
Automatischer Neustart eingerichtet
Um sich dauerhaft im System einzunisten, richtet die Malware ein Windows-Batch-Skript im Autostart-Ordner ein. Dieses sorgt dafür, dass der Mining-Prozess nach jedem Systemstart automatisch wieder aufgenommen wird.
CrowdStrike betont, dass dies nicht der erste Betrugsversuch dieser Art ist. Das Unternehmen beobachtet bereits seit längerem Betrügereien, bei denen falsche Stellenangebote im Namen von CrowdStrike verschickt werden. Der Cybersecurity-Anbieter rät daher zur besonderen Vorsicht bei unerwarteten Jobangeboten, die zum Download von Software auffordern.
