Szukasz pracy w IT? Uważaj na oferty z CrowdStrike
Szukający pracy w IT są celem ataków. Przestępcy uruchomili kampanię, w której udają firmę CrowdStrike.
Nazwa tej firmy pewnie brzmi dla Ciebie znajomo. Zrobiło się o niej głośno, gdy na skutek błędu sparaliżowała banki, linie lotnicze i szpitale. Teraz ma nowy problem. Cyberprzestępcy podszywają się pod rekruterów z CrowdStrike, by rozprzestrzeniać malware kopiący kryptowalutę. Robią to wyjątkowo przekonująco.
Wirus zamiast rozmowy kwalifikacyjnej
Atak zaczyna się od e-maila z propozycją pracy na pozycji junior developer w CrowdStrike. Znajduje się w nim propozycja, by umówić się na rozmowę z rekruterem. Znajduje się tam link, który ma rzekomo prowadzić do strony z odpowiednimi narzędziami. W rzeczywistości strona nie należy do CrowdStrike. Zamiast aplikacji CRM ofiary ściągają z niej skrypt dla Windowsa, który z kolei zainstaluje dobrze znany cryptominer XMRig.
Kampania jest bardzo dobrze przygotowana. Malware najpierw sprawdza urządzenie i przeprowadza działania maskujące. Jeśli uda mu się uniknąć wykrycia, pokaże użytkownikowi komunikat o błędzie aplikacji. W tle jednak ściągnie i zainstaluje narzędzie do kopania Monero.
Co więcej, przestępcy zadbali o odpowiednią otoczkę. Linki wyglądają, jakby rzeczywiście należały do CrowdStrike. Pobrany skrypt zaś w czasie instalacji pokazuje użytkownikowi odnośniki do prawdziwej strony firmy. To nie zdarza się codziennie.
CrowdStrike wykrył oszustwo w pierwszym tygodniu stycznia. Szukających pracy ostrzega przed rekrutacją prowadzoną w ten sposób, a także przez komunikatory internetowe. Należy też unikać pobierania programów przed rozmową. Nie zaszkodzi skontaktować się z prawdziwym rekruterem, by potwierdzić autentyczność oferty.
