هشدار کلاهبرداری! مجرمان سایبری از قطع شدن CrowdStrike با اصلاح بهروزرسانیهای حاوی بدافزار سوء استفاده میکنند
پس از قطعی CrowdStrike در هفته گذشته ، مجرمان سایبری فرصت را غنیمت شمرده و موجی از حملات مهندسی اجتماعی را با هدف مشتریان این فروشنده امنیتی راه اندازی کردند. این رویداد که باعث اختلال در سفرهای هوایی، بسته شدن فروشگاهها و تحت تاثیر قرار دادن امکانات پزشکی شد، با افزایش فعالیتهای فیشینگ گزارششده توسط آژانسهای امنیت سایبری ملی در ایالات متحده، بریتانیا، کانادا و استرالیا همراه شد.
به گفته Luigi Lenguito، مدیر عامل BforeAI، این حملات پس از CrowdStrike در مقایسه با حملات معمولی که به دنبال رویدادهای خبری مهم هستند، بسیار پربارتر و هدفمندتر هستند. لنگویتو خاطرنشان کرد: در حمله هفته گذشته به ترامپ، در روز اول شاهد افزایش 200 تهدید سایبری مرتبط بودیم که سپس به 40 تا 50 مورد در روز کاهش یافت. "در اینجا، شما به یک سنبله نگاه می کنید که سه برابر بزرگتر است. ما حدود 150 تا 300 حمله در روز می بینیم که حجم عادی برای حملات مرتبط با اخبار نیست."
نمایه یک کلاهبرداری با موضوع CrowdStrike
استراتژی پشت این کلاهبرداری ها واضح است: با ناتوانی بسیاری از کاربران شرکت های بزرگ برای اتصال به خدمات CrowdStrike، مجرمان سایبری از این آسیب پذیری سوء استفاده می کنند. ماهیت هدفمند این حملات آنها را از سایر کلاهبرداری های مضمونی مانند موارد مرتبط با رویدادهای سیاسی متمایز می کند. قربانیان اغلب از نظر فنی مهارت و دانش بیشتری در مورد امنیت سایبری دارند.
مهاجمان جعل هویت CrowdStrike، پشتیبانی فنی مرتبط، یا حتی شرکتهای رقیب هستند که «اصلاحات» خود را ارائه میدهند. دامنههای فیشینگ و تایپسکوت مانند crowdstrikefix[.]com، crowdstrikeupdate[.]com و www.microsoftcrowdstrike[.]com با بیش از 2000 دامنه شناسایی شدهاند.
این دامنهها برای توزیع بدافزار استفاده میشوند، از جمله یک فایل ZIP که به عنوان یک Hotfix است که حاوی HijackLoader (همچنین به عنوان IDAT Loader شناخته میشود) که متعاقباً RemCos RAT را بارگیری میکند. این فایل برای اولین بار از مکزیک گزارش شد و شامل نام فایل های اسپانیایی زبان بود که نشان دهنده تمرکز بر مشتریان CrowdStrike در آمریکای لاتین است.
در نمونه ای دیگر، مهاجمان یک ایمیل فیشینگ با یک پیوست PDF با طراحی ضعیف ارسال کردند. PDF حاوی پیوندی برای دانلود یک فایل ZIP با یک فایل اجرایی بود. هنگام راهاندازی، فایل اجرایی درخواست مجوز برای نصب بهروزرسانی کرد که معلوم شد یک پاککن است. گروه هکریست حامی حماس «هندالا» مسئولیت آن را بر عهده گرفت و اعلام کرد که «دهها» سازمان اسرائیلی چندین ترابایت داده را در نتیجه از دست دادهاند.
محافظت در برابر این تهدیدات
سازمانها میتوانند با پیادهسازی فهرستهای بلاک، استفاده از ابزارهای DNS محافظ، و اطمینان از اینکه فقط از وبسایت رسمی CrowdStrike و کانالهای خدمات مشتری پشتیبانی میکنند، از خود محافظت کنند. Lenguito پیشنهاد میکند که افزایش حملات هنوز در مراحل اولیه است، اما احتمالاً در هفتههای آینده کاهش مییابد. او مشاهده کرد: «به طور کلی، این کمپین ها دو تا سه هفته طول می کشد.
با هوشیاری و تکیه بر منابع تایید شده برای پشتیبانی فنی، سازمان ها می توانند خطرات ناشی از این حملات پیچیده و هدفمند فیشینگ را کاهش دهند.