Computer Security Avviso truffa! I criminali informatici sfruttano...

Avviso truffa! I criminali informatici sfruttano l'interruzione di CrowdStrike correggendo gli aggiornamenti contenenti malware

Sulla scia dell'interruzione di CrowdStrike della scorsa settimana , i criminali informatici hanno colto l'opportunità per lanciare un'ondata di attacchi di ingegneria sociale mirati ai clienti del fornitore di sicurezza . Questo evento, che ha interrotto i viaggi aerei, chiuso negozi e colpito strutture mediche, è stato seguito da un’ondata di attività di phishing segnalate dalle agenzie nazionali di sicurezza informatica negli Stati Uniti, nel Regno Unito, in Canada e in Australia.

Secondo Luigi Lenguito, CEO di BforeAI, questi attacchi post-CrowdStrike sono notevolmente più prolifici e mirati rispetto ai tipici attacchi che seguono i principali eventi di cronaca. "Nell'attacco a Trump della scorsa settimana, abbiamo osservato un picco di 200 minacce informatiche correlate nel primo giorno, per poi stabilizzarsi a 40-50 al giorno", ha osservato Lenguito. "Qui, stai osservando un picco tre volte più grande. Stiamo assistendo a circa 150-300 attacchi al giorno, che non è il volume normale per gli attacchi legati alle notizie."

Profilo di una truffa a tema CrowdStrike

La strategia alla base di queste truffe è chiara: poiché gli utenti di molte grandi aziende non sono in grado di connettersi ai servizi di CrowdStrike, i criminali informatici sfruttano questa vulnerabilità. La natura mirata di questi attacchi li differenzia da altre truffe a tema, come quelle legate ad eventi politici. Le vittime sono spesso più esperte dal punto di vista tecnico e informate sulla sicurezza informatica.

Gli aggressori si sono spacciati per CrowdStrike, per il relativo supporto tecnico o addirittura per aziende concorrenti che offrono le proprie "soluzioni". Sono emersi domini di phishing e typosquatting come crowdstrikefix[.]com, crowdstrikeupdate[.]com e www.microsoftcrowdstrike[.]com, con oltre 2.000 domini identificati.

Questi domini vengono utilizzati per distribuire malware, incluso un file ZIP che si presenta come un hotfix che contiene HijackLoader (noto anche come IDAT Loader), che successivamente carica RemCos RAT. Questo file è stato segnalato per la prima volta dal Messico e includeva nomi di file in lingua spagnola, suggerendo un focus sui clienti CrowdStrike in America Latina.

In un altro caso, gli aggressori hanno inviato un’e-mail di phishing con un allegato PDF mal progettato. Il PDF conteneva un collegamento per scaricare un file ZIP con un eseguibile. All'avvio, l'eseguibile richiedeva l'autorizzazione per installare un aggiornamento, che si rivelò essere un wiper. Il gruppo di hacktivisti pro-Hamas "Handala" ha rivendicato la responsabilità, affermando che "dozzine" di organizzazioni israeliane hanno perso diversi terabyte di dati.

Protezione da queste minacce

Le organizzazioni possono proteggersi implementando blocklist, utilizzando strumenti DNS protettivi e assicurandosi di chiedere supporto solo al sito Web ufficiale di CrowdStrike e ai canali del servizio clienti. Lenguito suggerisce che l’aumento degli attacchi è ancora nelle fasi iniziali, ma è probabile che diminuisca nelle prossime settimane. "In genere, queste campagne durano due o tre settimane", ha osservato.

Rimanendo vigili e affidandosi a fonti verificate per il supporto tecnico, le organizzazioni possono mitigare i rischi posti da questi attacchi di phishing sofisticati e mirati.

Caricamento in corso...