Podszywanie się pod rekrutera CrowdStrike
CrowdStrike, jedna z czołowych firm zajmujących się cyberbezpieczeństwem, ostrzegła przed nowym atakiem phishingowym, w którym oszuści podszywają się pod jej pracowników rekrutujących nowych programistów. Kampanię odkryto 7 stycznia 2025 roku, jednak analiza sugeruje, że nie była prowadzona dużo wcześniej.
Atak rozpoczyna się od fałszywego e-maila, który na pierwszy rzut oka wygląda jak wiadomość od prawdziwego rekrutera firmy. Wiadomość zawiera podziękowanie za złożenie aplikacji na stanowisko programisty oraz instrukcję pobrania rzekomej aplikacji CRM dla pracowników ze strony internetowej. Oszuści twierdzą, że aplikacja ta jest częścią nowego procesu rekrutacyjnego mającego usprawnić przyjmowanie nowych kandydatów. W rzeczywistości link prowadzi do fałszywej strony internetowej o adresie "cscrm-hiring[.]com".
Po kliknięciu w link ofiara zostaje przekierowana na stronę przypominającą oficjalny portal CrowdStrike, gdzie znajdują się odnośniki do pobrania aplikacji na systemy Windows i macOS. Pobierana aplikacja jest jednak niczym innym jak narzędziem do przeprowadzania ataków kryptowalutowych. Program przeprowadza najpierw wstępne kontrole w środowisku systemowym, sprawdzając liczbę rdzeni procesora, numer procesu oraz obecność narzędzi debugujących. Dzięki temu cyberprzestępcy mogą upewnić się, że program nie działa w środowisku analizy.
Jeśli środowisko spełnia kryteria oszustów, aplikacja generuje fałszywy komunikat o błędzie, sugerując, że plik instalatora jest uszkodzony. W rzeczywistości w tle pobierane są dodatkowe pliki potrzebne do uruchomienia złośliwego oprogramowania XMRig, które służy do kopania kryptowaluty Monero. Proces ten odbywa się bez wiedzy użytkownika, a aplikacja działa w tle, zużywając maksymalnie 10% mocy obliczeniowej komputera, co utrudnia jej wykrycie.
Cyberprzestępcy stosują różne techniki, aby zapewnić trwałość złośliwego oprogramowania na zainfekowanych urządzeniach. Główne pliki XMRig są zapisywane w katalogu systemowym "%TEMP%System", a skrypt wsadowy dodawany jest do katalogu Uruchamianie menu Start, co pozwala na uruchamianie programu po każdym ponownym uruchomieniu systemu. Dodatkowo, klucz automatycznego uruchamiania logowania jest zapisywany w rejestrze systemowym, co utrudnia użytkownikowi zorientowanie się, że coś jest nie tak.
Osoby szukające pracy najbardziej narażone
Osoby poszukujące pracy są szczególnie narażone na tego typu oszustwa, ponieważ mogą nie zachować należytej ostrożności podczas komunikacji z rekruterami. Przestępcy często korzystają z renomowanych marek, takich jak CrowdStrike, aby wzbudzić zaufanie i zwiększyć skuteczność swoich ataków. Fałszywe wiadomości e-mail wydają się wiarygodne i mogą zawierać informacje sugerujące, że oferta pracy jest autentyczna. W przypadku wątpliwości warto jednak zawsze sprawdzić adres e-mail nadawcy oraz skontaktować się z firmą bezpośrednio poprzez oficjalną stronę internetową.
Eksperci z CrowdStrike przypominają, że pracodawcy rzadko wymagają od kandydatów pobierania dodatkowych aplikacji w ramach procesu rekrutacyjnego. Nawet jeśli takie żądania się pojawią, nigdy nie powinny one dotyczyć plików wykonywalnych, które mogą zainfekować komputer użytkownika. Warto również pamiętać, że żadna szanująca się firma nie będzie prosiła o płatności z góry za udział w procesie rekrutacyjnym.
CrowdStrike podkreśla znaczenie edukacji użytkowników jako jednego z najważniejszych narzędzi w walce z phishingiem. Świadomość zagrożeń i ostrożność podczas komunikacji z potencjalnymi pracodawcami mogą znacząco zmniejszyć ryzyko padnięcia ofiarą oszustwa. W przypadku podejrzanych wiadomości najlepiej unikać klikania w linki i pobierania załączników, a wszelkie wątpliwości rozwiewać poprzez kontakt z oficjalnymi przedstawicielami firmy.
Phishing podszywający się pod firmy z branży cyberbezpieczeństwa to znak czasów, w których cyberprzestępcy nie cofają się przed niczym, aby osiągnąć swoje cele. Ostatni przypadek związany z CrowdStrike jest tego najlepszym przykładem, a specjaliści przestrzegają, że podobne ataki mogą pojawiać się coraz częściej, wykorzystując inne znane marki w celu wyłudzenia danych lub zainfekowania urządzeń.
