구직자 주의: 사기성 제안이 위험한 암호화 악성코드를 숨깁니다.

구인 광고로 위장한 암호화폐 악성코드가 구직자들을 노리고 있습니다

사이버 보안 회사 Crowdstrike은 화요일에 게시된 블로그 게시물에서 공개한 피싱 계획의 세부사항을 설명하며, 공격자들이 회사의 채용 절차를 조작하여 암호화폐 채굴 악성코드를 배포하는 방법을 설명했습니다.

공격자들은 사기성 채용 이메일과 속이는 웹사이트를 사용하여 피해자들을 유인합니다. 이 무방비 상태의 사람들은 가짜 “직원 CRM 애플리케이션”을 다운로드하라는 지시를 받게 되며, 이 애플리케이션은 대신 XMRig 암호화폐 채굴기를 설치합니다. 이 도구는 감염된 시스템을 사용하여 모네로 암호화폐를 채굴합니다. 회사는 다음과 같이 설명했습니다:

새로 발견된 피싱 캠페인은 Crowdstrike 채용 브랜딩을 사용하여 피해자들에게 가짜 애플리케이션을 다운로드하게 하여 XMRig 암호화폐 채굴기를 다운로드하도록 설득합니다.

이 계획은 Crowdstrike의 채용 부서에서 발송된 것처럼 가장한 이메일로 시작됩니다. 이러한 메시지는 수신자를 합법적인 고용 플랫폼을 흉내 낸 가짜 웹사이트로 안내합니다. 이 웹사이트는 Windows와 macOS와 호환되는 다운로드를 제공합니다. 그러나 선택과 상관없이 Windows 전용 악성코드 실행 파일이 전달됩니다.

실행 시, 이 악성코드는 보안 메커니즘을 회피하기 위해 여러 검증 단계를 거칩니다. 이러한 검사가 성공하면 악성코드는 시스템의 처리 능력을 이용하여 공격자를 위한 암호화폐를 채굴하는 XMRig을 가져와 설치합니다. 은밀하게 작동하도록 설계된 이 암호화폐 채굴기는 시스템 성능을 점차적으로 악화시키면서 의심을 피하기 위해 자원 사용을 제한합니다.

Crowdstrike은 또한 악성코드의 지속성 메커니즘에 대해 논의했습니다. 이 소프트웨어는 중요한 시스템 디렉토리에 설치되고 시스템이 재부팅될 때마다 다시 실행되도록 하는 스크립트를 배포합니다.

이와 같은 수법을 방어하기 위해 회사는 구직자들이 모든 채용 커뮤니케이션을 공식 채널을 통해 검증할 것을 권고했습니다. 또한 다음과 같이 설명했습니다:

우리는 후보자에게 인터뷰를 위해 소프트웨어를 다운로드하도록 요청하지 않습니다.

사이버 보안 회사는 합법적인 구직 정보는 공식 Careers 웹페이지에만 게시된다고 강조했습니다. 또한, 지원자들에게 외부 이메일이나 알 수 없는 온라인 소스와의 상호작용을 피하도록 조언했습니다.

이 사건은 구직자들 사이에서 높아져야 할 사이버 보안 인식의 필요성을 강조합니다. Crowdstrike는 엔드포인트 보호 시스템의 구현, 피싱 교육의 제공 및 비정상적인 행동에 대한 네트워크 활동 모니터링을 강조하며 경계를 유지할 것을 권장합니다. 사이버 범죄자들이 지속적으로 취약점을 악용하는 가운데, 그러한 위협을 줄이기 위해서는 적극적인 조치와 주의가 필수적입니다.