據(jù)BleepingComputer消息，CrowdStrike近日發(fā)出一則提醒，稱一個網(wǎng)絡釣魚活動冒充自己發(fā)布虛假招聘，以借此向受害者傳播門羅幣加密貨幣礦工 （XMRig） 。

該公司于 2025 年 1 月 7 日發(fā)現(xiàn)了這一惡意活動，釣魚郵件稱自己來自CrowdStrike 就業(yè)代理，邀請受害者下載一個看似合法的“員工 CRM 應用程序”，稱該程序是為了幫助應聘者簡化入職流程。

發(fā)送給求職者的電子郵件

一旦點擊應用程序下載鏈接，受害者將被帶到一個網(wǎng)站（cscrm-hiring[.]com），其中包含下載適用于 Windows 或 macOS系統(tǒng)的上述應用程序鏈接。

軟件下載頁面

下載的程序在獲取附加有效載荷前會執(zhí)行沙盒檢查，以確保不是在分析環(huán)境中運行，例如檢查進程數(shù)、CPU 核心數(shù)和是否存在調試器。一旦檢查結束并判斷受害者系統(tǒng)符合感染條件，應用程序就會生成一條虛假的錯誤消息，通知安裝程序文件可能已損壞。

虛假的報錯消息

在后臺，下載程序會檢索一個配置文本文件，其中包含運行 XMRig 所需的參數(shù)，隨后從 GitHub 存儲庫下載包含挖礦程序的 ZIP 存檔，并將文件解壓縮到“%TEMP%\System\”中。

礦工設置為在后臺運行，并將功耗設置在系統(tǒng)的10%以內以避免被發(fā)現(xiàn)。

挖礦進程在 Start Menu Startup 目錄中添加了一個批處理腳本，以便在重新啟動之間保持持久性，同時登錄自動啟動鍵也會寫入注冊表中。

CrowdStrike表示不會要求應聘者下載軟件，并提醒用戶注意驗證招聘信息的真實性，從公司官方渠道獲得招聘信息。