Computer Security Scam Alert! Cyberkriminelle udnytter CrowdStrike-udfald...

Scam Alert! Cyberkriminelle udnytter CrowdStrike-udfald med rettelsesopdateringer, der indeholder malware

I kølvandet på sidste uges CrowdStrike-udfald har cyberkriminelle grebet muligheden for at lancere en bølge af social engineering-angreb rettet mod sikkerhedsleverandørens kunder . Denne begivenhed, som forstyrrede flyrejser, lukkede butikker og påvirkede medicinske faciliteter, er blevet efterfulgt af en stigning i phishing-aktiviteter rapporteret af nationale cybersikkerhedsagenturer i USA, Storbritannien, Canada og Australien.

Ifølge Luigi Lenguito, CEO for BforeAI, er disse post-CrowdStrike-angreb især mere produktive og målrettede sammenlignet med typiske angreb, der følger store nyhedsbegivenheder. "I sidste uges angreb på Trump så vi en stigning på den første dag af 200 relaterede cybertrusler, som derefter fladede ud til 40-50 om dagen," bemærkede Lenguito. "Her ser du på en stigning, der er tre gange så stor. Vi ser omkring 150 til 300 angreb om dagen, hvilket ikke er den normale mængde for nyhedsrelaterede angreb."

Profil af en CrowdStrike-tema fidus

Strategien bag disse svindelnumre er klar: med mange store virksomheders brugere, der ikke kan oprette forbindelse til CrowdStrikes tjenester, udnytter cyberkriminelle denne sårbarhed. Den målrettede karakter af disse angreb adskiller dem fra andre tema-svindel, såsom dem, der er relateret til politiske begivenheder. Ofrene er ofte mere teknisk dygtige og vidende om cybersikkerhed.

Angribere har efterlignet CrowdStrike, relateret teknisk support eller endda konkurrerende virksomheder, der tilbyder deres egne "rettelser". Phishing- og typosquatting-domæner såsom crowdstrikefix[.]com, crowdstrikeupdate[.]com og www.microsoftcrowdstrike[.]com er dukket op med over 2.000 sådanne domæner identificeret.

Disse domæner bliver brugt til at distribuere malware, herunder en ZIP-fil, der optræder som et hotfix, der indeholder HijackLoader (også kendt som IDAT Loader), som efterfølgende indlæser RemCos RAT. Denne fil blev først rapporteret fra Mexico og inkluderede spansksprogede filnavne, hvilket tyder på fokus på CrowdStrike-kunder i Latinamerika.

I et andet tilfælde sendte angribere en phishing-e-mail med en dårligt designet PDF-vedhæftet fil. PDF'en indeholdt et link til at downloade en ZIP-fil med en eksekverbar. Da den blev lanceret, bad den eksekverbare om tilladelse til at installere en opdatering, som viste sig at være en visker. Den pro-Hamas hacktivist-gruppe "Handala" påtog sig ansvaret og udtalte, at "snesevis" af israelske organisationer havde mistet adskillige terabyte data som følge heraf.

Beskyttelse mod disse trusler

Organisationer kan beskytte sig selv ved at implementere blokeringslister, bruge beskyttende DNS-værktøjer og sikre, at de kun søger support fra CrowdStrikes officielle hjemmeside og kundeservicekanaler. Lenguito antyder, at stigningen i angreb stadig er i de tidlige stadier, men at den sandsynligvis vil aftage i løbet af de kommende uger. "Generelt varer disse kampagner to til tre uger," bemærkede han.

Ved at forblive på vagt og stole på verificerede kilder til teknisk support, kan organisationer mindske de risici, som disse sofistikerede og målrettede phishing-angreb udgør.

Indlæser...