La empresa de ciberseguridad CrowdStrike alerta de una campaña de phishing que aprovecha su propia marca para distribuir un minero de criptomonedas que se disfraza de aplicación CRM para empleados como parte de un supuesto proceso de contratación.
El ataque comienza con un correo electrónico de phishing que suplanta a CrowdStrike Recruitment, dirigiendo a las víctimas a un sitio web malicioso, según explicó la empresa. «A las víctimas se les solicita descargar y ejecutar una aplicación falsa, que actúa como un descargador para el criptominero XMRig.»
La empresa con sede en Texas dijo haber descubierto la campaña maliciosa el 7 de enero de 2025, y afirmó estar «al tanto de estafas que implican ofertas falsas de empleo con CrowdStrike.»
El correo electrónico de phishing atrae a los destinatarios afirmando que han sido preseleccionados para la siguiente etapa del proceso de contratación para un puesto de desarrollador junior y que deben unirse a una llamada con el equipo de reclutamiento descargando una herramienta de gestión de relaciones con el cliente (CRM) proporcionada en el enlace incrustado.
El binario descargado, una vez ejecutado, realiza una serie de comprobaciones para evadir la detección y el análisis antes de recuperar las cargas útiles de la siguiente etapa.
Estas comprobaciones incluyen la detección de la presencia de un depurador y el análisis de la lista de procesos en ejecución para identificar herramientas de análisis de malware o software de virtualización. Además, aseguran que el sistema tenga un cierto número de procesos activos y que la CPU tenga al menos dos núcleos.
Si el host cumple con todos los criterios, se muestra un mensaje de error sobre una instalación fallida al usuario, mientras que en segundo plano se descarga el minero XMRig desde GitHub y su correspondiente configuración desde otro servidor («93.115.172[.]41»).
«El malware ejecuta entonces el minero XMRig, utilizando los argumentos de la línea de comandos dentro del archivo de configuración descargado», señaló CrowdStrike. Además, el ejecutable establece persistencia en la máquina al agregar un script por lotes de Windows a la carpeta de inicio del menú Inicio, que es el responsable de iniciar el minero.
El desarrollo coincide con la revelación de Trend Micro sobre un falso proof-of-concept (PoC) utilizado para explotar una vulnerabilidad de seguridad recientemente divulgada en el Protocolo de Acceso Ligero a Directorios (LDAP) de Microsoft Windows, identificada como CVE-2024-49113, también conocida como LDAPNightmare. Este PoC falso está siendo utilizado para atraer a investigadores de seguridad a descargar un ladrón de información.
El repositorio malicioso en cuestión – github[.]com/YoonJae-rep/CVE-2024-49113 (ya eliminado) – se describe como una bifurcación del repositorio original de SafeBreach Labs, que alojaba el PoC legítimo.
Sin embargo, el repositorio falso sustituye los archivos relacionados con el exploit por un binario llamado «poc.exe». Al ejecutarse, este archivo deja caer un script de PowerShell que crea una tarea programada para ejecutar un script codificado en Base64. El script decodificado luego descarga otro script desde Pastebin.
El malware en su etapa final es un ladrón de información que recopila diversos datos del sistema, incluyendo:
- La dirección IP pública de la máquina.
- Metadatos del sistema.
- Lista de procesos en ejecución.
- Listas de directorios.
- Direcciones IP de red.
- Adaptadores de red.
- Actualizaciones instaladas.
«Aunque la táctica de usar pruebas de concepto como vehículo para distribuir malware no es nueva, este ataque sigue planteando preocupaciones significativas, especialmente porque capitaliza un problema de actualidad que podría afectar a un mayor número de víctimas», comentó la investigadora de seguridad Sarah Pearl Camiling.