Сцам Алерт! Сајбер криминалци искориштавају прекид рада ЦровдСтрике помоћу исправки ажурирања која садрже малвер
Након прошлонедељног прекида рада ЦровдСтрике-а , сајбер-криминалци су искористили прилику да покрену талас напада социјалног инжењеринга усмерених на клијенте добављача безбедности . Овај догађај, који је пореметио ваздушни саобраћај, затворене продавнице и погодио медицинске установе, праћен је порастом активности пхисхинг-а које су пријавиле националне агенције за сајбер безбедност у САД, Великој Британији, Канади и Аустралији.
Према Луиђију Ленгуиту, извршном директору БфореАИ-а, ови напади након ЦровдСтрике-а су знатно плоднији и циљанији у поређењу са типичним нападима који прате главне вести. „У прошлонедељном нападу на Трампа, видели смо скок првог дана од 200 повезаних сајбер претњи, које су се затим смањиле на 40-50 дневно“, приметио је Ленгуито. „Овде гледате на скок који је три пута већи. Видимо око 150 до 300 напада дневно, што није нормална количина за нападе у вези са вестима.“
Профил преваре на тему ЦровдСтрике
Стратегија иза ових превара је јасна: пошто корисници многих великих корпорација не могу да се повежу са услугама ЦровдСтрике-а, сајбер криминалци искориштавају ову рањивост. Циљана природа ових напада разликује их од других тематских превара, попут оних у вези са политичким догађајима. Жртве су често технички вештије и боље упућене у сајбер безбедност.
Нападачи су се лажно представљали за ЦровдСтрике, сродну техничку подршку или чак конкурентске компаније које нуде сопствене „поправке“. Појавили су се домени за пхисхинг и типоскуаттинг као што су цровдстрикефик[.]цом, цровдстрикеупдате[.]цом и ввв.мицрософтцровдстрике[.]цом, са преко 2000 идентификованих таквих домена.
Ови домени се користе за дистрибуцију малвера, укључујући ЗИП датотеку која се представља као хитна исправка која садржи ХијацкЛоадер (такође познат као ИДАТ Лоадер), који накнадно учитава РемЦос РАТ. Овај фајл је први пут пријављен из Мексика и укључивао је називе датотека на шпанском језику, што сугерише фокус на ЦровдСтрике клијентима у Латинској Америци.
У другом случају, нападачи су послали е-поруку за крађу идентитета са лоше дизајнираним ПДФ прилогом. ПДФ је садржао везу за преузимање ЗИП датотеке са извршном датотеком. Када је покренут, извршни је тражио дозволу за инсталирање ажурирања, што се показало као брисач. Одговорност је преузела про-Хамасова хактивистичка група „Хандала”, наводећи да су „десетине” израелских организација због тога изгубиле неколико терабајта података.
Заштита од ових претњи
Организације могу да се заштите тако што ће имплементирати листе блокираних, користећи заштитне ДНС алате и осигурати да траже подршку само од званичне веб странице ЦровдСтрике- а и канала за корисничку подршку. Ленгуито сугерише да је пораст напада још увек у раној фази, али да ће се вероватно смањити у наредним недељама. „Генерално, ове кампање трају две до три недеље“, приметио је он.
Остајући на опрезу и ослањајући се на проверене изворе за техничку подршку, организације могу да ублаже ризике које представљају ови софистицирани и циљани пхисхинг напади.