تنبيه احتيال! يستغل مجرمو الإنترنت انقطاع CrowdStrike من خلال إصلاح التحديثات التي تحتوي على برامج ضارة
في أعقاب انقطاع خدمة CrowdStrike الأسبوع الماضي ، اغتنم مجرمو الإنترنت الفرصة لشن موجة من هجمات الهندسة الاجتماعية التي تستهدف عملاء موردي الخدمات الأمنية . هذا الحدث، الذي عطل السفر الجوي، وأغلق المتاجر، وأثر على المرافق الطبية، أعقبه ارتفاع في أنشطة التصيد الاحتيالي التي أبلغت عنها وكالات الأمن السيبراني الوطنية في الولايات المتحدة والمملكة المتحدة وكندا وأستراليا.
وفقًا للويجي لينجيتو، الرئيس التنفيذي لشركة BforeAI، فإن هجمات ما بعد CrowdStrike هذه أكثر غزارة واستهدافًا بشكل ملحوظ مقارنة بالهجمات النموذجية التي تتبع الأحداث الإخبارية الكبرى. وأشار لينجيتو إلى أنه "في الهجوم الذي استهدف ترامب الأسبوع الماضي، شهدنا ارتفاعًا كبيرًا في اليوم الأول لعدد 200 تهديد سيبراني ذي صلة، والتي انخفضت بعد ذلك إلى 40-50 تهديدًا يوميًا". "هنا، أنت تنظر إلى ارتفاع أكبر بثلاثة أضعاف. نشهد حوالي 150 إلى 300 هجوم يوميًا، وهو ليس الحجم الطبيعي للهجمات المتعلقة بالأخبار."
الملف التعريفي لعملية احتيال تحت عنوان CrowdStrike
إن الإستراتيجية الكامنة وراء عمليات الاحتيال هذه واضحة: نظرًا لعدم قدرة العديد من مستخدمي الشركات الكبيرة على الاتصال بخدمات CrowdStrike، يستغل مجرمو الإنترنت هذه الثغرة الأمنية. إن الطبيعة المستهدفة لهذه الهجمات تميزها عن عمليات الاحتيال الأخرى، مثل تلك المتعلقة بالأحداث السياسية. غالبًا ما يكون الضحايا أكثر مهارة من الناحية الفنية ومعرفة بالأمن السيبراني.
كان المهاجمون ينتحلون شخصية CrowdStrike أو الدعم الفني ذي الصلة أو حتى الشركات المنافسة التي تقدم "الإصلاحات" الخاصة بهم. ظهرت مجالات التصيد الاحتيالي والسطو المطبعي، مثل crowdstrikefix[.]com، وcrowdstrikeupdate[.]com، وwww.microsoftcrowdstrike[.]com، مع تحديد أكثر من 2000 من هذه النطاقات.
يتم استخدام هذه النطاقات لتوزيع البرامج الضارة، بما في ذلك ملف ZIP الذي يظهر كإصلاح عاجل يحتوي على HijackLoader (المعروف أيضًا باسم IDAT Loader)، والذي يقوم لاحقًا بتحميل RemCos RAT. تم الإبلاغ عن هذا الملف لأول مرة من المكسيك وتضمن أسماء ملفات باللغة الإسبانية، مما يشير إلى التركيز على عملاء CrowdStrike في أمريكا اللاتينية.
وفي حالة أخرى، أرسل المهاجمون رسالة بريد إلكتروني تصيدية تحتوي على مرفق PDF سيئ التصميم. يحتوي ملف PDF على رابط لتنزيل ملف ZIP قابل للتنفيذ. عند إطلاقه، طلب الملف القابل للتنفيذ الإذن بتثبيت تحديث، والذي تبين أنه ممسحة. وأعلنت مجموعة "حنظلة" الموالية لحماس مسؤوليتها عن الهجوم، قائلة إن "العشرات" من المنظمات الإسرائيلية فقدت عدة تيرابايت من البيانات نتيجة لذلك.
الحماية ضد هذه التهديدات
يمكن للمؤسسات حماية نفسها من خلال تنفيذ قوائم الحظر، واستخدام أدوات DNS الوقائية، والتأكد من أنها تطلب الدعم فقط من موقع CrowdStrike الرسمي وقنوات خدمة العملاء. ويشير لينغيتو إلى أن تصاعد الهجمات لا يزال في مراحله الأولى ولكن من المرجح أن يتراجع خلال الأسابيع المقبلة. وأشار إلى أنه "بشكل عام، تستمر هذه الحملات من أسبوعين إلى ثلاثة أسابيع".
ومن خلال البقاء يقظين والاعتماد على مصادر تم التحقق منها للحصول على الدعم الفني، يمكن للمؤسسات التخفيف من المخاطر التي تشكلها هجمات التصيد الاحتيالي المتطورة والمستهدفة.