Phishing-Betrug: Krypto-Miner statt Job
Das Cybersicherheitsunternehmen CrowdStrike warnt vor einer aktuellen Phishing-Kampagne, bei der Kriminelle den Namen und das Logo des Unternehmens missbrauchen. Die Betrüger geben vor, Bewerber für eine Stelle bei CrowdStrike zu kontaktieren, und fordern sie auf, eine vermeintliche CRM-Software herunterzuladen. Tatsächlich verbirgt sich dahinter jedoch eine Schadsoftware, die unbemerkt einen Kryptowährungs-Miner installiert.
„Opfer werden dazu gebracht, eine gefälschte Anwendung herunterzuladen und auszuführen, die als Downloader für den Kryptominer XMRig dient“, erklärt das Unternehmen. CrowdStrike, mit Sitz in Texas, entdeckte die Kampagne am 7. Januar 2025 und wies darauf hin, dass dem Unternehmen bereits Betrugsversuche bekannt sind, bei denen falsche Stellenangebote im Namen von CrowdStrike genutzt werden.
Die Phishing-E-Mail lockt die Empfänger, indem sie behauptet, dass sie für die nächste Phase des Bewerbungsprozesses für eine Stelle als Junior-Entwickler ausgewählt wurden. Um an einem Gespräch mit dem Rekrutierungsteam teilzunehmen, müssten sie ein Customer-Relationship-Management-Tool (CRM) herunterladen, das in einem eingebetteten Link bereitgestellt wird. Das heruntergeladene Programm führt nach dem Start eine Reihe von Überprüfungen durch, um einer Erkennung und Analyse zu entgehen, bevor es weitere Schadsoftware nachlädt.
Zu den durchgeführten Checks gehören das Erkennen eines Debuggers sowie das Scannen der laufenden Prozesse auf dem System, um Analysetools oder Virtualisierungssoftware aufzuspüren. Darüber hinaus wird geprüft, ob das System über eine bestimmte Anzahl aktiver Prozesse verfügt und der Prozessor mindestens zwei Kerne besitzt. Erfüllt das System alle Kriterien, wird dem Nutzer eine Fehlermeldung angezeigt, die darauf hindeutet, dass die Installation fehlgeschlagen sei. Im Hintergrund wird jedoch der XMRig-Miner von GitHub heruntergeladen sowie eine dazugehörige Konfigurationsdatei von einem weiteren Server („93.115.172[.]41“). „Anschließend führt die Schadsoftware den XMRig-Miner mit den in der heruntergeladenen Konfigurationsdatei enthaltenen Kommandozeilenparametern aus“, erklärte CrowdStrike. Darüber hinaus richtet die Schadsoftware eine dauerhafte Präsenz auf dem betroffenen System ein, indem sie ein Windows-Batch-Skript im Autostart-Ordner des Startmenüs platziert. Dieses Skript sorgt dafür, dass der Miner bei jedem Systemstart automatisch ausgeführt wird.
Fake-PoC zielt auf Sicherheitsforscher
Trend Micro berichtet unterdessen, dass ein gefälschter Proof-of-Concept (PoC) zu einer kürzlich bekannt gewordenen Sicherheitslücke im Lightweight Directory Access Protocol (LDAP) von Microsoft Windows – CVE-2024-49113, auch bekannt als „LDAPNightmare“ – gezielt dazu genutzt wird, Sicherheitsforscher zur Installation eines Info-Stealers zu verleiten.
Das bösartige GitHub-Repository unter github[.]com/YoonJae-rep/CVE-2024-49113 war offenbar eine Kopie des ursprünglichen Repositorys von SafeBreach Labs, das den echten Proof-of-Concept (PoC) enthielt. Das gefälschte Repository, das inzwischen entfernt wurde, ersetzte jedoch die echten Exploit-Dateien durch eine ausführbare Datei namens „poc.exe“.
Bei der Ausführung dieser Datei wird ein PowerShell-Skript abgelegt, das eine geplante Aufgabe erstellt, um ein Base64-codiertes Skript auszuführen. Dieses Skript lädt anschließend einen weiteren Code von Pastebin herunter.
Die zu guter Letzt final ausgeführte Schadsoftware ist ein Info-Stealer, der sensible Informationen wie die öffentliche IP-Adresse des Systems, Systemmetadaten, laufende Prozesse, Verzeichnislisten, Netzwerk-IP-Adressen, Netzwerkadapter und installierte Updates sammelt.
„Auch wenn die Methode, PoCs als Lockmittel zur Verbreitung von Malware zu nutzen, nicht neu ist, stellt dieser Angriff dennoch ein ernstes Problem dar, da er eine aktuelle Schwachstelle ausnutzt und potenziell viele Opfer treffen könnte“, warnte die Sicherheitsexpertin Sarah Pearl Camiling.