Alerta de fraude! Cibercriminosos exploram interrupção do CrowdStrike com atualizações de correção contendo malware
Após a interrupção do CrowdStrike na semana passada , os cibercriminosos aproveitaram a oportunidade para lançar uma onda de ataques de engenharia social direcionados aos clientes do fornecedor de segurança . Este evento, que interrompeu as viagens aéreas, fechou lojas e afetou instalações médicas, foi seguido por um aumento nas atividades de phishing relatadas por agências nacionais de segurança cibernética nos EUA, Reino Unido, Canadá e Austrália.
De acordo com Luigi Lenguito, CEO da BforeAI, estes ataques pós-CrowdStrike são notavelmente mais prolíficos e direcionados em comparação com ataques típicos que se seguem a grandes eventos noticiosos. “No ataque da semana passada a Trump, vimos um aumento no primeiro dia de 200 ameaças cibernéticas relacionadas, que depois diminuíram para 40-50 por dia”, observou Lenguito. “Aqui, você está vendo um pico três vezes maior. Estamos vendo cerca de 150 a 300 ataques por dia, o que não é o volume normal para ataques relacionados a notícias.”
Perfil de um golpe com tema CrowdStrike
A estratégia por trás desses golpes é clara: como muitos usuários de grandes corporações não conseguem se conectar aos serviços da CrowdStrike, os cibercriminosos exploram essa vulnerabilidade. A natureza direcionada destes ataques diferencia-os de outras fraudes temáticas, como as relacionadas com eventos políticos. As vítimas costumam ser mais adeptas tecnicamente e bem informadas sobre segurança cibernética.
Os invasores têm se feito passar pela CrowdStrike, pelo suporte técnico relacionado ou até mesmo por empresas concorrentes que oferecem suas próprias “soluções”. Surgiram domínios de phishing e typosquatting, como crowdstrikefix[.]com, crowdstrikeupdate[.]com e www.microsoftcrowdstrike[.]com, com mais de 2.000 desses domínios identificados.
Esses domínios estão sendo usados para distribuir malware, incluindo um arquivo ZIP que se apresenta como um hotfix que contém o HijackLoader (também conhecido como IDAT Loader), que posteriormente carrega o RemCos RAT. Este arquivo foi relatado pela primeira vez no México e incluía nomes de arquivos em espanhol, sugerindo um foco nos clientes CrowdStrike na América Latina.
Em outro caso, os invasores enviaram um e-mail de phishing com um anexo em PDF mal projetado. O PDF continha um link para baixar um arquivo ZIP com um executável. Ao ser lançado, o executável pedia permissão para instalar uma atualização, que acabou sendo um limpador. O grupo hacktivista pró-Hamas "Handala" assumiu a responsabilidade, afirmando que "dezenas" de organizações israelenses perderam vários terabytes de dados como resultado.
Protegendo-se contra essas ameaças
As organizações podem se proteger implementando listas de bloqueio, usando ferramentas de proteção de DNS e garantindo que só busquem suporte no site oficial e nos canais de atendimento ao cliente da CrowdStrike . Lenguito sugere que o aumento dos ataques ainda está em seus estágios iniciais, mas provavelmente diminuirá nas próximas semanas. “Geralmente essas campanhas duram de duas a três semanas”, observou.
Ao permanecerem vigilantes e contarem com fontes verificadas para suporte técnico, as organizações podem mitigar os riscos representados por esses ataques de phishing sofisticados e direcionados.