மோசடி எச்சரிக்கை! மால்வேர் கொண்ட ஃபிக்ஸ் அப்டேட்களுடன் CrowdStrike செயலிழப்பை சைபர் கிரைமினல்கள் பயன்படுத்திக் கொள்கிறார்கள்
கடந்த வார CrowdStrike செயலிழப்பை அடுத்து, பாதுகாப்பு விற்பனையாளரின் வாடிக்கையாளர்களை இலக்காகக் கொண்ட சமூக பொறியியல் தாக்குதல்களின் அலையைத் தொடங்க சைபர் குற்றவாளிகள் வாய்ப்பைப் பயன்படுத்திக் கொண்டனர். இந்த நிகழ்வு, விமானப் பயணத்தை சீர்குலைத்தது, கடைகளை மூடியது மற்றும் மருத்துவ வசதிகளை பாதித்தது, அமெரிக்கா, இங்கிலாந்து, கனடா மற்றும் ஆஸ்திரேலியாவில் உள்ள தேசிய சைபர் செக்யூரிட்டி ஏஜென்சிகளால் ஃபிஷிங் நடவடிக்கைகள் அதிகரித்ததைத் தொடர்ந்து.
BforeAI இன் CEO, Luigi Lenguito இன் கூற்றுப்படி, இந்த பிந்தைய CrowdStrike தாக்குதல்கள், முக்கிய செய்தி நிகழ்வுகளைத் தொடர்ந்து வரும் வழக்கமான தாக்குதல்களுடன் ஒப்பிடும்போது, மிகவும் செழிப்பானவை மற்றும் இலக்குவைக்கப்பட்டவை. "கடந்த வாரம் டிரம்ப் மீதான தாக்குதலில், 200 தொடர்புடைய சைபர் அச்சுறுத்தல்களின் முதல் நாளில் ஒரு ஸ்பைக்கைக் கண்டோம், பின்னர் அது ஒரு நாளைக்கு 40-50 ஆக தட்டையானது" என்று லெங்குய்டோ குறிப்பிட்டார். "இங்கே, நீங்கள் மூன்று மடங்கு பெரிய ஸ்பைக்கைப் பார்க்கிறீர்கள். ஒரு நாளைக்கு சுமார் 150 முதல் 300 தாக்குதல்களை நாங்கள் காண்கிறோம், இது செய்தி தொடர்பான தாக்குதல்களுக்கான சாதாரண அளவு அல்ல."
CrowdStrike-தீம் மோசடியின் சுயவிவரம்
இந்த மோசடிகளுக்குப் பின்னால் உள்ள உத்தி தெளிவாக உள்ளது: பல பெரிய நிறுவனங்களின் பயனர்கள் CrowdStrike இன் சேவைகளுடன் இணைக்க முடியாத நிலையில், சைபர் குற்றவாளிகள் இந்த பாதிப்பை பயன்படுத்திக் கொள்கின்றனர். இந்தத் தாக்குதல்களின் இலக்குத் தன்மை, அரசியல் நிகழ்வுகள் போன்ற பிற கருப்பொருள் மோசடிகளிலிருந்து அவர்களை வேறுபடுத்துகிறது. பாதிக்கப்பட்டவர்கள் பெரும்பாலும் தொழில்நுட்ப ரீதியாக மிகவும் திறமையானவர்கள் மற்றும் இணைய பாதுகாப்பு பற்றி அறிந்தவர்கள்.
தாக்குபவர்கள் CrowdStrike, தொடர்புடைய தொழில்நுட்ப ஆதரவு அல்லது போட்டியிடும் நிறுவனங்கள் தங்கள் சொந்த "திருத்தங்களை" வழங்குவதாக ஆள்மாறாட்டம் செய்கின்றனர். ஃபிஷிங் மற்றும் டைபோஸ்குவாட்டிங் டொமைன்களான crowdstrikefix[.]com, crowdstrikeupdate[.]com, மற்றும் www.microsoftcrowdstrike[.]com போன்ற 2,000 டொமைன்கள் அடையாளம் காணப்பட்டுள்ளன.
இந்த டொமைன்கள் மால்வேரை விநியோகிக்கப் பயன்படுத்தப்படுகின்றன, இதில் ஹைஜாக்லோடர் (IDAT லோடர் என்றும் அழைக்கப்படுகிறது) உள்ள ஹாட்ஃபிக்ஸ் போல் காட்டப்படும் ஜிப் கோப்பு உட்பட, இது பின்னர் RemCos RATஐ ஏற்றுகிறது. இந்த கோப்பு முதலில் மெக்சிகோவில் இருந்து புகாரளிக்கப்பட்டது மற்றும் லத்தீன் அமெரிக்காவில் உள்ள CrowdStrike வாடிக்கையாளர்களுக்கு கவனம் செலுத்தும் வகையில் ஸ்பானிஷ் மொழி கோப்புப் பெயர்கள் சேர்க்கப்பட்டுள்ளன.
மற்றொரு சந்தர்ப்பத்தில், தாக்குபவர்கள் மோசமாக வடிவமைக்கப்பட்ட PDF இணைப்புடன் ஃபிஷிங் மின்னஞ்சலை அனுப்பியுள்ளனர். இயங்கக்கூடிய ஒரு ஜிப் கோப்பைப் பதிவிறக்குவதற்கான இணைப்பை PDF கொண்டுள்ளது. தொடங்கப்பட்டபோது, இயங்கக்கூடியது ஒரு புதுப்பிப்பை நிறுவ அனுமதி கேட்டது, அது ஒரு வைப்பராக மாறியது. ஹமாஸ் சார்பு ஹேக்டிவிஸ்ட் குழுவான "ஹண்டாலா" பொறுப்பேற்று, "டஜன் கணக்கான" இஸ்ரேலிய அமைப்புகள் இதன் விளைவாக பல டெராபைட் தரவுகளை இழந்ததாகக் கூறியது.
இந்த அச்சுறுத்தல்களுக்கு எதிராக பாதுகாத்தல்
தடுப்புப்பட்டியலைச் செயல்படுத்துவதன் மூலமும், பாதுகாப்பு DNS கருவிகளைப் பயன்படுத்துவதன் மூலமும், CrowdStrike இன் அதிகாரப்பூர்வ இணையதளம் மற்றும் வாடிக்கையாளர் சேவை சேனல்களின் ஆதரவை மட்டுமே பெறுவதை உறுதிசெய்வதன் மூலமும் நிறுவனங்கள் தங்களைப் பாதுகாத்துக் கொள்ள முடியும். தாக்குதல்களின் எழுச்சி இன்னும் ஆரம்ப கட்டத்தில் உள்ளது, ஆனால் வரவிருக்கும் வாரங்களில் குறைய வாய்ப்புள்ளது என்று லெங்குய்டோ கூறுகிறார். "பொதுவாக, இந்த பிரச்சாரங்கள் இரண்டு முதல் மூன்று வாரங்கள் நீடிக்கும்," என்று அவர் கவனித்தார்.
விழிப்புடன் இருப்பதன் மூலமும், தொழில்நுட்ப ஆதரவிற்காக சரிபார்க்கப்பட்ட ஆதாரங்களை நம்புவதன் மூலமும், நிறுவனங்கள் இந்த அதிநவீன மற்றும் இலக்கு ஃபிஷிங் தாக்குதல்களால் ஏற்படும் அபாயங்களைக் குறைக்கலாம்.