Des entretiens d’embauche falsifiés pour propager un cryptominer : CrowdStrike visé par une nouvelle campagne de phishing

Une nouvelle campagne de phishing cible les chercheurs d’emploi en usurpant l’identité de recruteurs de CrowdStrike, une entreprise renommée en cybersécurité. Les cybercriminels envoient des e-mails convaincants, invitant les victimes à planifier un entretien d’embauche via un lien malveillant. Ce dernier redirige vers un site frauduleux proposant de télécharger une prétendue "application CRM", qui installe en réalité un logiciel de cryptominage sur l’appareil de la victime.

Une campagne sophistiquée et ciblée

Les e-mails de phishing, bien que courants dans le contexte des offres d’emploi, se distinguent ici par leur niveau de détail et de réalisme. Les URL utilisées imitent celles de CrowdStrike, et le malware téléchargé affiche même une fenêtre pop-up redirigeant vers le véritable portail de support de l’entreprise. "Cette campagne est très ciblée et va bien au-delà de ce que nous voyons habituellement", explique Chance Caldwell, directeur du Phishing Defense Center chez Cofense. "Les attaquants ont fait un effort considérable pour se faire passer pour CrowdStrike."

Un malware qui cible Windows et macOS

Le site malveillant propose des options de téléchargement pour Windows et macOS. Cependant, quel que soit le choix de la victime, un exécutable Windows écrit en Rust est téléchargé. Ce dernier effectue plusieurs vérifications environnementales, comme l’analyse des processus en cours d’exécution et la vérification du processeur, pour éviter la détection. Si ces vérifications sont réussies, l’exécutable affiche un faux message d’erreur tout en téléchargeant le cryptominer XMRig en arrière-plan.

Une menace pour les chercheurs d’emploi

CrowdStrike, qui a identifié cette campagne il y a quelques jours, met en garde les chercheurs d’emploi contre ces escroqueries. L’entreprise recommande de ne jamais participer à des entretiens via des messageries instantanées ou des e-mails non vérifiés, et de refuser de télécharger tout logiciel dans le cadre d’un processus de recrutement. Pour vérifier l’authenticité des communications, les candidats doivent contacter directement recruiting@crowdstrike.com.

"Il est très improbable qu’un recruteur demande de télécharger un exécutable lors d’un entretien", souligne Chance Caldwell. "Toute demande suspecte doit être vérifiée soigneusement avant de télécharger quoi que ce soit, et les coordonnées doivent être confirmées via le site officiel de l’entreprise."

Une tendance inquiétante

Cette campagne illustre une tendance croissante des cybercriminels à exploiter des thèmes liés à l’emploi pour propager des logiciels malveillants. Les attaquants profitent de la crédulité et de l’empressement des chercheurs d’emploi pour infiltrer leurs systèmes. Les utilisateurs doivent rester vigilants et adopter des pratiques de sécurité rigoureuses, comme la vérification des sources et l’évitement des téléchargements non sollicités.

Conclusion

Cette campagne de phishing ciblée montre à quel point les cybercriminels deviennent sophistiqués dans leurs tactiques. En usurpant l’identité d’une entreprise de cybersécurité comme CrowdStrike, ils parviennent à tromper même les utilisateurs avertis. Les chercheurs d’emploi doivent rester prudents et suivre les recommandations de sécurité pour éviter de tomber dans ces pièges bien orchestrés.