Computer Security Сигнал за измама! Киберпрестъпниците се възползват от...

Сигнал за измама! Киберпрестъпниците се възползват от прекъсването на CrowdStrike с актуализации на корекции, съдържащи зловреден софтуер

В резултат на прекъсването на CrowdStrike миналата седмица , киберпрестъпниците се възползваха от възможността да стартират вълна от атаки със социално инженерство, насочени към клиентите на доставчика на сигурност . Това събитие, което прекъсна въздушния транспорт, затвори магазини и засегна медицински заведения, беше последвано от скок на фишинг дейности, докладвани от националните агенции за киберсигурност в САЩ, Обединеното кралство, Канада и Австралия.

Според Луиджи Ленгито, главен изпълнителен директор на BforeAI, тези атаки след CrowdStrike са значително по-плодотворни и целенасочени в сравнение с типичните атаки, които следват големи новинарски събития. „При атаката срещу Тръмп миналата седмица видяхме скок през първия ден от 200 свързани киберзаплахи, които след това се изравниха до 40-50 на ден“, отбеляза Ленгуито. „Тук виждате скок, който е три пъти по-голям. Виждаме около 150 до 300 атаки на ден, което не е нормалният обем за атаки, свързани с новини.“

Профил на измама на тема CrowdStrike

Стратегията зад тези измами е ясна: тъй като потребителите на много големи корпорации не могат да се свържат с услугите на CrowdStrike, киберпрестъпниците използват тази уязвимост. Целевият характер на тези атаки ги отличава от други тематични измами, като тези, свързани с политически събития. Жертвите често са по-технически опитни и запознати с киберсигурността.

Нападателите се представят за CrowdStrike, свързана техническа поддръжка или дори конкурентни компании, предлагащи свои собствени „поправки“. Появиха се домейни за фишинг и typosquatting като crowdstrikefix[.]com, crowdstrikeupdate[.]com и www.microsoftcrowdstrike[.]com, като са идентифицирани над 2000 такива домейна.

Тези домейни се използват за разпространение на зловреден софтуер, включително ZIP файл, представящ се за актуална корекция, който съдържа HijackLoader (известен също като IDAT Loader), който впоследствие зарежда RemCos RAT. Този файл беше съобщен за първи път от Мексико и включва имена на файлове на испански език, което предполага фокусиране върху клиенти на CrowdStrike в Латинска Америка.

В друг случай нападателите изпратиха фишинг имейл с лошо проектиран PDF прикачен файл. PDF файлът съдържа връзка за изтегляне на ZIP файл с изпълним файл. При стартиране изпълнимият файл поиска разрешение за инсталиране на актуализация, която се оказа чистачка. Про-Хамас хактивистката група "Хандала" пое отговорност, заявявайки, че "десетки" израелски организации са загубили няколко терабайта данни в резултат на това.

Защита срещу тези заплахи

Организациите могат да се защитят, като внедрят списъци за блокиране, използват защитни DNS инструменти и гарантират, че търсят поддръжка само от официалния уебсайт на CrowdStrike и каналите за обслужване на клиенти. Lenguito предполага, че нарастването на атаките все още е в начален етап, но е вероятно да намалее през следващите седмици. „Като цяло тези кампании продължават две до три седмици“, отбеляза той.

Като останат бдителни и разчитат на проверени източници за техническа поддръжка, организациите могат да намалят рисковете, породени от тези сложни и целеви фишинг атаки.

Зареждане...