Computer Security Opozorilo o prevari! Kibernetski kriminalci izkoriščajo...

Opozorilo o prevari! Kibernetski kriminalci izkoriščajo izpad CrowdStrike s posodobitvami popravkov, ki vsebujejo zlonamerno programsko opremo

Po izpadu CrowdStrike prejšnji teden so kiberkriminalci izkoristili priložnost in sprožili val napadov socialnega inženiringa, namenjenih strankam prodajalca varnosti . Temu dogodku, ki je prekinil letalski promet, zaprl trgovine in prizadel zdravstvene ustanove, je sledil porast lažnega predstavljanja, o katerem poročajo nacionalne agencije za kibernetsko varnost v ZDA, Združenem kraljestvu, Kanadi in Avstraliji.

Po mnenju Luigija Lenguita, izvršnega direktorja BforeAI, so ti napadi po CrowdStrikeu opazno bolj plodni in ciljno usmerjeni v primerjavi s tipičnimi napadi, ki sledijo večjim novicam. "Pri napadu prejšnji teden na Trumpa smo prvi dan opazili porast 200 povezanih kibernetskih groženj, ki se je nato znižal na 40-50 na dan," je opozoril Lenguito. "Tukaj gledate konico, ki je trikrat večja. Vidimo približno 150 do 300 napadov na dan, kar ni običajna količina za napade, povezane z novicami."

Profil prevare na temo CrowdStrike

Strategija za temi goljufijami je jasna: ker se številni uporabniki velikih korporacij ne morejo povezati s storitvami CrowdStrike, kibernetski kriminalci izkoriščajo to ranljivost. Ciljna narava teh napadov jih razlikuje od drugih tematskih prevar, kot so tiste, povezane s političnimi dogodki. Žrtve so pogosto bolj tehnično spretne in poznajo kibernetsko varnost.

Napadalci se lažno predstavljajo kot CrowdStrike, sorodna tehnična podpora ali celo konkurenčna podjetja, ki ponujajo lastne "popravke". Pojavile so se domene za lažno predstavljanje in tipkanje, kot so crowdstrikefix[.]com, crowdstrikeupdate[.]com in www.microsoftcrowdstrike[.]com, pri čemer je bilo identificiranih več kot 2000 takih domen.

Te domene se uporabljajo za distribucijo zlonamerne programske opreme, vključno z datoteko ZIP, ki se predstavlja kot sprotni popravek, ki vsebuje HijackLoader (znan tudi kot IDAT Loader), ki nato naloži RemCos RAT. O tej datoteki so prvič poročali iz Mehike in je vključevala imena datotek v španskem jeziku, kar kaže na osredotočenost na stranke CrowdStrike v Latinski Ameriki.

V drugem primeru so napadalci poslali lažno e-poštno sporočilo s slabo oblikovano prilogo PDF. PDF je vseboval povezavo za prenos datoteke ZIP z izvršljivo datoteko. Ob zagonu je izvedljiva zahtevala dovoljenje za namestitev posodobitve, ki se je izkazala za brisalec. Pro-Hamasova haktivistična skupina "Handala" je prevzela odgovornost in izjavila, da je "desetine" izraelskih organizacij zaradi tega izgubilo več terabajtov podatkov.

Zaščita pred temi grožnjami

Organizacije se lahko zaščitijo z uvedbo seznamov blokiranih, uporabo zaščitnih orodij DNS in zagotavljanjem , da iščejo podporo le na uradnem spletnem mestu CrowdStrike in kanalih za pomoč uporabnikom. Lenguito nakazuje, da je porast napadov še vedno v zgodnji fazi, vendar se bo v prihodnjih tednih verjetno zmanjšal. "Na splošno te akcije trajajo dva do tri tedne," je opazil.

Če ostanejo pazljive in se zanašajo na preverjene vire tehnične podpore, lahko organizacije ublažijo tveganja, ki jih predstavljajo ti sofisticirani in ciljno usmerjeni lažni napadi.

Nalaganje...