Alertă de înșelătorie! Criminalii cibernetici exploatează întreruperea CrowdStrike cu actualizări de remedieri care conțin programe malware
În urma întreruperii CrowdStrike de săptămâna trecută , infractorii cibernetici au profitat de oportunitatea pentru a lansa un val de atacuri de inginerie socială care vizează clienții furnizorului de securitate . Acest eveniment, care a perturbat călătoriile aeriene, a închis magazine și a afectat unitățile medicale, a fost urmat de o creștere a activităților de phishing raportate de agențiile naționale de securitate cibernetică din SUA, Marea Britanie, Canada și Australia.
Potrivit lui Luigi Lenguito, CEO al BforeAI, aceste atacuri post-CrowdStrike sunt mult mai prolifice și mai direcționate în comparație cu atacurile tipice care urmează evenimentelor majore de știri. „În atacul de săptămâna trecută asupra lui Trump, am observat o creștere în prima zi din 200 de amenințări cibernetice, care apoi s-au aplatizat la 40-50 pe zi”, a menționat Lenguito. „Aici, te uiți la un vârf care este de trei ori mai mare. Vedem aproximativ 150 până la 300 de atacuri pe zi, care nu este volumul normal pentru atacurile legate de știri”.
Profilul unei escrocherii cu tematică CrowdStrike
Strategia din spatele acestor escrocherii este clară: cu mulți utilizatori ai corporațiilor mari nu se pot conecta la serviciile CrowdStrike, infractorii cibernetici exploatează această vulnerabilitate. Natura vizată a acestor atacuri le diferențiază de alte escrocherii tematice, cum ar fi cele legate de evenimente politice. Victimele sunt adesea mai apte din punct de vedere tehnic și cunosc mai multe despre securitatea cibernetică.
Atacatorii au uzurpat identitatea CrowdStrike, suportul tehnic aferent sau chiar companiile concurente care oferă propriile „remedieri”. Au apărut domenii de phishing și typosquatting, cum ar fi crowdstrikefix[.]com, crowdstrikeupdate[.]com și www.microsoftcrowdstrike[.]com, cu peste 2.000 de astfel de domenii identificate.
Aceste domenii sunt folosite pentru a distribui programe malware, inclusiv un fișier ZIP care se prezintă ca o remediere rapidă care conține HijackLoader (cunoscut și ca IDAT Loader), care încarcă ulterior RemCos RAT. Acest fișier a fost raportat pentru prima dată din Mexic și a inclus nume de fișiere în limba spaniolă, ceea ce sugerează o concentrare pe clienții CrowdStrike din America Latină.
Într-un alt caz, atacatorii au trimis un e-mail de phishing cu un atașament PDF proiectat prost. PDF-ul conținea un link pentru a descărca un fișier ZIP cu un executabil. Când a fost lansat, executabilul a cerut permisiunea de a instala o actualizare, care s-a dovedit a fi un ștergător. Grupul hacktivist pro-Hamas „Handala” și-a revendicat responsabilitatea, afirmând că „zeci” de organizații israeliene au pierdut câțiva terabytes de date ca urmare.
Protejarea împotriva acestor amenințări
Organizațiile se pot proteja prin implementarea listelor de blocare, folosind instrumente DNS de protecție și asigurându-se că caută asistență doar de pe site-ul oficial CrowdStrike și canalele de servicii pentru clienți. Lenguito sugerează că creșterea atacurilor este încă în stadii incipiente, dar este probabil să se reducă în următoarele săptămâni. „În general, aceste campanii durează două-trei săptămâni”, a observat el.
Rămânând vigilenți și bazându-se pe surse verificate pentru asistență tehnică, organizațiile pot atenua riscurile prezentate de aceste atacuri de phishing sofisticate și direcționate.