Attenzione: Falsi annunci di lavoro CrowdStrike nascondono crypto-miner che mirano agli sviluppatori

Luca Galuppi : 10 Gennaio 2025 11:13

CrowdStrike ha recentemente svelato una sofisticata campagna di phishing, scoperta il 7 gennaio 2025, che prende di mira gli sviluppatori di software. Utilizzando false offerte di lavoro, gli hacker cercano di ingannare le vittime per installare un crypto miner basato su Monero (XMRig) sui loro dispositivi.

La trappola

L’attacco inizia con un’email ingannevole, che sembra provenire da un “recruiter” di CrowdStrike. La comunicazione ringrazia la vittima per essersi “candidata” a una posizione come sviluppatore presso l’azienda e la invita a scaricare un’applicazione CRM per completare l’onboarding, descritta come parte di un innovativo processo di selezione.

Chi clicca sul link viene indirizzato a un sito web dall’aspetto ingannevolmente legittimo, cscrm-hiring[.]com, dove può scaricare l’app per Windows o macOS. Una volta installato il software, il malware esegue una serie di controlli per verificare se si trova in un ambiente di analisi, come una sandbox. Questi controlli includono:

• Numero di processi attivi
• Conteggio dei core CPU
• Presenza di debugger

Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro. Scarica ora la Demo di Business Log per 30gg Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Se i controlli non rilevano anomalie, il malware scarica la configurazione necessaria per il funzionamento del miner e recupera i file di XMRig da un repository GitHub. Successivamente, estrae i file nella directory temporanea del sistema e avvia il miner in background, limitando l’uso delle risorse al 10% per evitare sospetti.

Il malware garantisce persistenza sul sistema scrivendo una chiave di avvio automatico nel registro e inserendo uno script nella directory di avvio del menu Start.

Come proteggersi

Questa campagna sottolinea l’importanza di mantenere alta la guardia durante la ricerca di lavoro online. Ecco alcune regole fondamentali per proteggersi:

• Verifica l’autenticità dell’email: Controlla attentamente l’indirizzo email per assicurarti che provenga dal dominio ufficiale dell’azienda. Le email di phishing spesso usano domini simili ma non identici.
• Evita download sospetti: Nessun datore di lavoro richiede di scaricare software di terze parti per partecipare a un processo di selezione. Se ti viene chiesto di farlo, sospetta subito.
• Diffida delle offerte troppo allettanti: Le offerte di lavoro che sembrano troppo belle per essere vere sono spesso trappole. Le aziende serie non inviano offerte spontanee senza una comunicazione ufficiale.
• Conferma sempre le informazioni ufficiali: Se ricevi un’offerta di lavoro, contatta direttamente l’azienda tramite i canali ufficiali (come il sito web ufficiale o il numero di telefono) per verificarne l’autenticità.

Le conseguenze del malware

Le implicazioni di un attacco come questo possono essere gravi. Oltre al danno immediato, come l’infezione da malware e l’uso non autorizzato delle risorse del computer, i miner di criptovalute come XMRig possono compromettere l’integrità del sistema, rallentando le prestazioni e causando danni a lungo termine.

Le vittime possono anche essere esposte ad altri tipi di attacchi, come il furto di dati sensibili o l’accesso non autorizzato a informazioni aziendali critiche.

Conclusione

Questa vicenda evidenzia l’astuzia con cui i cybercriminali possono sfruttare situazioni apparentemente innocue, come la ricerca di lavoro, per scopi malevoli. Per chi cerca nuove opportunità professionali, la regola è chiara: mai abbassare la guardia e verificare sempre ogni dettaglio.

Allo stesso tempo, le aziende devono impegnarsi a rafforzare la fiducia nella loro identità digitale, adottando misure preventive per contrastare l’uso improprio del proprio nome

Luca Galuppi
Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.

Lista degli articoli
Visita il sito web dell'autore