A CrowdStrike, empresa renomada no setor de segurança cibernética, emitiu um alerta sobre uma nova campanha de phishing que utiliza e-mails falsos de ofertas de emprego para enganar desenvolvedores e instalar mineradores de criptomoedas do tipo Monero (XMRig) em seus dispositivos.
Como funciona o golpe
Identificada em 7 de janeiro de 2025, essa campanha começa com e-mails que simulam ser enviados por agentes de recrutamento da CrowdStrike, agradecendo aos destinatários por supostamente se candidatarem a vagas de desenvolvedor na empresa.
No e-mail, as vítimas são incentivadas a baixar um suposto “aplicativo de CRM para funcionários” por meio de um link que leva a um site falso, projetado para imitar o portal oficial da CrowdStrike. O site malicioso (cscrm-hiring[.]com) disponibiliza versões do aplicativo para Windows e macOS.
Detalhes do ataque
Assim que o “aplicativo” é baixado e executado, ele realiza verificações no ambiente do dispositivo para garantir que não esteja sendo analisado em sandbox ou por ferramentas de depuração. Se nenhuma atividade suspeita for detectada, o programa exibe uma mensagem de erro falsa, alegando que o instalador está corrompido.
Enquanto isso, o programa baixa um minerador de criptomoedas (XMRig) e configura sua execução em segundo plano, consumindo até 10% da capacidade de processamento para evitar detecção. Além disso, o golpe inclui um script de inicialização automática no menu Iniciar e grava uma chave de inicialização no registro, garantindo a persistência do minerador.
Como se proteger
A CrowdStrike recomenda que candidatos a emprego adotem medidas preventivas ao interagir com recrutadores ou processos seletivos:
- Verifique a autenticidade do contato: Sempre confirme se o endereço de e-mail pertence ao domínio oficial da empresa antes de responder ou seguir instruções.
- Evite downloads suspeitos: Empresas legítimas raramente solicitam que candidatos baixem aplicativos de terceiros como parte do processo de recrutamento.
- Fuja de ofertas duvidosas: Propostas muito boas para ser verdade, solicitações de urgência ou pagamentos antecipados devem ser tratadas com cautela.
A empresa reforça a importância de sempre confirmar as informações diretamente no site oficial da organização e evitar abrir arquivos executáveis recebidos por e-mail.
Mais informações sobre a campanha e indicadores de comprometimento podem ser encontrados no relatório oficial da CrowdStrike.