Alerta d'estafa! Els cibercriminals exploten l'interrupció de CrowdStrike amb actualitzacions de correccions que contenen programari maliciós
Arran de l'interrupció de CrowdStrike de la setmana passada , els ciberdelinqüents han aprofitat l'oportunitat per llançar una onada d'atacs d'enginyeria social dirigits als clients del proveïdor de seguretat . Aquest esdeveniment, que va interrompre els viatges aeris, va tancar botigues i va afectar les instal·lacions mèdiques, ha estat seguit per un augment de les activitats de pesca informades per les agències nacionals de ciberseguretat als EUA, el Regne Unit, el Canadà i Austràlia.
Segons Luigi Lenguito, director general de BforeAI, aquests atacs posteriors a CrowdStrike són notablement més prolífics i dirigits en comparació amb els atacs típics que segueixen els principals esdeveniments de notícies. "En l'atac de la setmana passada a Trump, vam veure un augment el primer dia de 200 amenaces cibernètiques relacionades, que després es van reduir a 40-50 al dia", va assenyalar Lenguito. "Aquí, esteu mirant un pic que és tres vegades més gran. Estem veient uns 150 a 300 atacs al dia, que no és el volum normal dels atacs relacionats amb les notícies".
Perfil d'una estafa temàtica de CrowdStrike
L'estratègia darrere d'aquestes estafes és clara: amb molts usuaris de grans corporacions que no poden connectar-se als serveis de CrowdStrike, els ciberdelinqüents exploten aquesta vulnerabilitat. La naturalesa dirigida d'aquests atacs els diferencia d'altres estafes temàtiques, com les relacionades amb esdeveniments polítics. Les víctimes sovint són més habilitats tècnicament i tenen més coneixements sobre la ciberseguretat.
Els atacants s'han suplantat a CrowdStrike, al suport tècnic relacionat o fins i tot a empreses competidores que ofereixen les seves pròpies "correccions". Han sorgit dominis de pesca i errors ortogràfics com ara crowdstrikefix[.]com, crowdstrikeupdate[.]com i www.microsoftcrowdstrike[.]com, amb més de 2.000 dominis identificats.
Aquests dominis s'estan utilitzant per distribuir programari maliciós, inclòs un fitxer ZIP que es presenta com una correcció ràpida que conté HijackLoader (també conegut com IDAT Loader), que posteriorment carrega el RemCos RAT. Aquest fitxer es va informar per primera vegada des de Mèxic i incloïa noms de fitxers en espanyol, cosa que suggereix un enfocament als clients de CrowdStrike a Amèrica Llatina.
En un altre cas, els atacants van enviar un correu electrònic de pesca amb un fitxer adjunt PDF mal dissenyat. El PDF contenia un enllaç per descarregar un fitxer ZIP amb un executable. Quan es va iniciar, l'executable va demanar permís per instal·lar una actualització, que va resultar ser un netejador. El grup hacktivista pro-Hamas "Handala" va reivindicar la responsabilitat, afirmant que "desenes" d'organitzacions israelianes havien perdut diversos terabytes de dades com a resultat.
Protecció contra aquestes amenaces
Les organitzacions es poden protegir mitjançant la implementació de llistes de bloqueig, utilitzant eines de DNS protectores i assegurant-se que només busquen suport al lloc web oficial de CrowdStrike i als canals d'atenció al client. Lenguito suggereix que l'augment dels atacs encara està en les seves primeres etapes, però és probable que disminueixi en les properes setmanes. "En general, aquestes campanyes duren de dues a tres setmanes", va observar.
Si es mantenen vigilants i confien en fonts verificades per obtenir suport tècnic, les organitzacions poden mitigar els riscos que plantegen aquests atacs de pesca sofisticats i específics.