Jan 10, 2025Ravie LakshmananCryptomining / Programu hasidi Kampuni ya Cybersecurity ya CrowdStrike inatahadharisha kuhusu kampeni ya hadaa ambayo inatumia chapa yake yenyewe kusambaza mchimbaji madini ya cryptocurrency ambaye amejificha kama ombi la CRM la mfanyakazi kama sehemu ya mchakato unaodaiwa wa kuajiri. “Shambulio linaanza na barua pepe ya ulaghai inayoiga uajiri wa CrowdStrike, inayoelekeza wapokeaji kwenye tovuti hasidi,” kampuni hiyo ilisema. “Waathiriwa wanahamasishwa kupakua na kuendesha programu ghushi, ambayo hutumika kama kipakuzi cha XMRig ya cryptominer.” Kampuni hiyo yenye makao yake makuu Texas ilisema iligundua kampeni hiyo mbovu mnamo Januari 7, 2025, na kwamba “inajua ulaghai unaohusisha ofa za uwongo za ajira na CrowdStrike.” Barua pepe ya ulaghai huwavutia wapokeaji kwa kudai kuwa wameorodheshwa kwa hatua inayofuata ya mchakato wa kuajiri jukumu la msanidi programu mdogo, na kwamba wanahitaji kujiunga na simu na timu ya kuajiri kwa kupakua zana ya usimamizi wa uhusiano wa mteja (CRM) iliyotolewa katika kiungo kilichopachikwa. Mbinu ya jozi iliyopakuliwa, ikishazinduliwa, hufanya ukaguzi kadhaa ili kukwepa kugunduliwa na uchanganuzi kabla ya kuleta mizigo ya hatua inayofuata. Ukaguzi huu ni pamoja na kutambua kuwepo kwa kitatuzi na kuchanganua orodha ya michakato inayoendesha kwa uchanganuzi wa programu hasidi au zana za programu za uboreshaji. Pia zinahakikisha kuwa mfumo una idadi fulani ya michakato inayotumika na CPU ina angalau cores mbili. Ikiwa mwenyeji atakidhi vigezo vyote, ujumbe wa hitilafu kuhusu usakinishaji uliofeli huonyeshwa kwa mtumiaji, huku akipakua kwa siri mchimbaji XMRig kutoka GitHub na usanidi wake sambamba kutoka kwa seva nyingine (“93.115.172)[.]41”) chinichini. “Programu hasidi basi huendesha mchimbaji XMRig, kwa kutumia hoja za mstari wa amri ndani ya faili ya maandishi ya usanidi iliyopakuliwa,” CrowdStrike ilisema, na kuongeza inayoweza kutekelezeka huanzisha uendelevu kwenye mashine kwa kuongeza hati ya bechi ya Windows kwenye Mwanzo. Folda ya Kuanzisha Menyu, ambayo ina jukumu la kuzindua mchimbaji LDAPNightmare PoC Inalenga Watafiti wa Usalama Maendeleo huja kama Trend Micro ilifichua kuwa uthibitisho bandia wa dhana (PoC) ya dosari ya usalama iliyofichuliwa hivi majuzi katika Itifaki ya Upataji wa Saraka ya Windows Lightweight (LDAP) – CVE-2024-49113 (aka LDAPNightmare) – inatumiwa kuwavutia watafiti wa usalama kupakua habari. mwizi.” Hazina mbaya ya GitHub inayohusika – github[.]com/YoonJae-rep/CVE-2024-49113 (sasa imeondolewa) – inasemekana kuwa uma wa hazina asili kutoka kwa SafeBreach Labs inayopangisha PoC halali. hazina ghushi, hata hivyo, hubadilisha faili zinazohusiana na unyonyaji na mfumo wa jozi unaoitwa “poc.exe” ambao, inapoendeshwa, hudondosha hati ya PowerShell ili kuunda kazi iliyoratibiwa ya kutekeleza hati iliyosimbwa ya Base64. Hati iliyosimbuliwa kisha hutumika kupakua hati nyingine kutoka kwa Pastebin. Programu hasidi ya hatua ya mwisho ni mwizi ambaye hukusanya anwani ya IP ya umma ya mashine, metadata ya mfumo, orodha ya mchakato, orodha za saraka, anwani za IP za mtandao, adapta za mtandao na masasisho yaliyosakinishwa. “Ingawa mbinu ya kutumia chambo za PoC kama gari la kusambaza programu hasidi sio mpya, shambulio hili bado linaleta wasiwasi mkubwa, haswa kwa vile linafadhili suala linalovuma ambalo linaweza kuathiri idadi kubwa ya wahasiriwa,” mtafiti wa usalama Sarah Pearl Camiling alisema. . Je, umepata makala hii ya kuvutia? Tufuate kwenye Twitter na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.
Leave a Reply