Computer Security Upozornění na podvod! Kyberzločinci využívají výpadek...

Upozornění na podvod! Kyberzločinci využívají výpadek CrowdStrike s opravnými aktualizacemi obsahujícími malware

Po výpadku CrowdStrike z minulého týdne se kyberzločinci chopili příležitosti a zahájili vlnu útoků sociálního inženýrství zaměřených na zákazníky dodavatele zabezpečení . Po této události, která narušila leteckou dopravu, uzavřela obchody a ovlivnila zdravotnická zařízení, následoval prudký nárůst phishingových aktivit hlášených národními agenturami pro kybernetickou bezpečnost v USA, Velké Británii, Kanadě a Austrálii.

Podle Luigiho Lenguita, generálního ředitele BforeAI, jsou tyto útoky po CrowdStrike výrazně plodnější a cílenější ve srovnání s typickými útoky, které následují po hlavních zpravodajských událostech. "Při útoku na Trumpa minulý týden jsme první den viděli prudký nárůst 200 souvisejících kybernetických hrozeb, který se pak snížil na 40-50 denně," poznamenal Lenguito. "Tady se díváte na špičku, která je třikrát větší. Vidíme asi 150 až 300 útoků denně, což není běžný objem útoků souvisejících se zprávami."

Profil podvodu s tématem CrowdStrike

Strategie těchto podvodů je jasná: vzhledem k tomu, že uživatelé mnoha velkých korporací se nemohou připojit ke službám CrowdStrike, kyberzločinci tuto zranitelnost zneužívají. Cílená povaha těchto útoků je odlišuje od jiných tematických podvodů, jako jsou podvody související s politickými událostmi. Oběti jsou často technicky zdatnější a informovanější o kybernetické bezpečnosti.

Útočníci se vydávali za CrowdStrike, související technickou podporu nebo dokonce konkurenční společnosti nabízející své vlastní „opravy“. Objevily se phishingové a typosquattingové domény jako crowdstrikefix[.]com, crowdstrikeupdate[.]com a www.microsoftcrowdstrike[.]com, přičemž bylo identifikováno více než 2 000 takových domén.

Tyto domény se používají k distribuci malwaru, včetně souboru ZIP vydávajícího se za opravu hotfix, která obsahuje HijackLoader (také známý jako IDAT Loader), který následně načte RemCos RAT. Tento soubor byl poprvé hlášen z Mexika a obsahoval názvy souborů ve španělštině, což naznačuje zaměření na zákazníky CrowdStrike v Latinské Americe.

V jiném případě útočníci poslali phishingový e-mail se špatně navrženou přílohou PDF. PDF obsahovalo odkaz ke stažení souboru ZIP se spustitelným souborem. Po spuštění požádal spustitelný soubor o povolení k instalaci aktualizace, což se ukázalo jako stěrač. K odpovědnosti se přihlásila pro-Hamasská hacktivistická skupina „Handala“ a uvedla, že „desítky“ izraelských organizací v důsledku toho ztratily několik terabajtů dat.

Ochrana před těmito hrozbami

Organizace se mohou chránit implementací blokovaných seznamů, používáním ochranných nástrojů DNS a zajištěním, že budou hledat podporu pouze na oficiálních webových stránkách CrowdStrike a na kanálech zákaznických služeb. Lenguito naznačuje, že nárůst útoků je stále v rané fázi, ale pravděpodobně se v nadcházejících týdnech zmenší. "Obecně tyto kampaně trvají dva až tři týdny," poznamenal.

Zůstane-li ostražitost a spoléhání se na ověřené zdroje technické podpory, mohou organizace zmírnit rizika, která tyto sofistikované a cílené phishingové útoky představují.

Načítání...