Computer Security هشدار کلاهبرداری! مجرمان سایبری از قطع شدن CrowdStrike با...

هشدار کلاهبرداری! مجرمان سایبری از قطع شدن CrowdStrike با اصلاح به‌روزرسانی‌های حاوی بدافزار سوء استفاده می‌کنند

پس از قطعی CrowdStrike در هفته گذشته ، مجرمان سایبری فرصت را غنیمت شمرده و موجی از حملات مهندسی اجتماعی را با هدف مشتریان این فروشنده امنیتی راه اندازی کردند. این رویداد که باعث اختلال در سفرهای هوایی، بسته شدن فروشگاه‌ها و تحت تاثیر قرار دادن امکانات پزشکی شد، با افزایش فعالیت‌های فیشینگ گزارش‌شده توسط آژانس‌های امنیت سایبری ملی در ایالات متحده، بریتانیا، کانادا و استرالیا همراه شد.

به گفته Luigi Lenguito، مدیر عامل BforeAI، این حملات پس از CrowdStrike در مقایسه با حملات معمولی که به دنبال رویدادهای خبری مهم هستند، بسیار پربارتر و هدفمندتر هستند. لنگویتو خاطرنشان کرد: در حمله هفته گذشته به ترامپ، در روز اول شاهد افزایش 200 تهدید سایبری مرتبط بودیم که سپس به 40 تا 50 مورد در روز کاهش یافت. "در اینجا، شما به یک سنبله نگاه می کنید که سه برابر بزرگتر است. ما حدود 150 تا 300 حمله در روز می بینیم که حجم عادی برای حملات مرتبط با اخبار نیست."

نمایه یک کلاهبرداری با موضوع CrowdStrike

استراتژی پشت این کلاهبرداری ها واضح است: با ناتوانی بسیاری از کاربران شرکت های بزرگ برای اتصال به خدمات CrowdStrike، مجرمان سایبری از این آسیب پذیری سوء استفاده می کنند. ماهیت هدفمند این حملات آنها را از سایر کلاهبرداری های مضمونی مانند موارد مرتبط با رویدادهای سیاسی متمایز می کند. قربانیان اغلب از نظر فنی مهارت و دانش بیشتری در مورد امنیت سایبری دارند.

مهاجمان جعل هویت CrowdStrike، پشتیبانی فنی مرتبط، یا حتی شرکت‌های رقیب هستند که «اصلاحات» خود را ارائه می‌دهند. دامنه‌های فیشینگ و تایپسکوت مانند crowdstrikefix[.]com، crowdstrikeupdate[.]com و www.microsoftcrowdstrike[.]com با بیش از 2000 دامنه شناسایی شده‌اند.

این دامنه‌ها برای توزیع بدافزار استفاده می‌شوند، از جمله یک فایل ZIP که به عنوان یک Hotfix است که حاوی HijackLoader (همچنین به عنوان IDAT Loader شناخته می‌شود) که متعاقباً RemCos RAT را بارگیری می‌کند. این فایل برای اولین بار از مکزیک گزارش شد و شامل نام فایل های اسپانیایی زبان بود که نشان دهنده تمرکز بر مشتریان CrowdStrike در آمریکای لاتین است.

در نمونه ای دیگر، مهاجمان یک ایمیل فیشینگ با یک پیوست PDF با طراحی ضعیف ارسال کردند. PDF حاوی پیوندی برای دانلود یک فایل ZIP با یک فایل اجرایی بود. هنگام راه‌اندازی، فایل اجرایی درخواست مجوز برای نصب به‌روزرسانی کرد که معلوم شد یک پاک‌کن است. گروه هکریست حامی حماس «هندالا» مسئولیت آن را بر عهده گرفت و اعلام کرد که «ده‌ها» سازمان اسرائیلی چندین ترابایت داده را در نتیجه از دست داده‌اند.

محافظت در برابر این تهدیدات

سازمان‌ها می‌توانند با پیاده‌سازی فهرست‌های بلاک، استفاده از ابزارهای DNS محافظ، و اطمینان از اینکه فقط از وب‌سایت رسمی CrowdStrike و کانال‌های خدمات مشتری پشتیبانی می‌کنند، از خود محافظت کنند. Lenguito پیشنهاد می‌کند که افزایش حملات هنوز در مراحل اولیه است، اما احتمالاً در هفته‌های آینده کاهش می‌یابد. او مشاهده کرد: «به طور کلی، این کمپین ها دو تا سه هفته طول می کشد.

با هوشیاری و تکیه بر منابع تایید شده برای پشتیبانی فنی، سازمان ها می توانند خطرات ناشی از این حملات پیچیده و هدفمند فیشینگ را کاهش دهند.

بارگذاری...