Computer Security Scam Alert! Sinasamantala ng mga Cybercriminal ang...

Scam Alert! Sinasamantala ng mga Cybercriminal ang CrowdStrike Outage sa Pag-aayos ng Mga Update na Naglalaman ng Malware

Sa pagtatapos ng CrowdStrike outage noong nakaraang linggo , sinamantala ng mga cybercriminal ang pagkakataong maglunsad ng isang alon ng mga pag-atake sa social engineering na naglalayong sa mga customer ng security vendor . Ang kaganapang ito, na nakagambala sa paglalakbay sa himpapawid, mga saradong tindahan, at naapektuhang mga pasilidad na medikal, ay sinundan ng pagtaas ng mga aktibidad sa phishing na iniulat ng mga pambansang ahensya ng cybersecurity sa US, UK, Canada, at Australia.

Ayon kay Luigi Lenguito, CEO ng BforeAI, ang mga pag-atakeng post-CrowdStrike na ito ay kapansin-pansing mas prolific at naka-target kumpara sa mga karaniwang pag-atake na sumusunod sa mga pangunahing kaganapan sa balita. "Sa pag-atake noong nakaraang linggo sa Trump, nakita namin ang isang spike sa unang araw ng 200 kaugnay na mga banta sa cyber, na pagkatapos ay na-flatten sa 40-50 sa isang araw," sabi ni Lenguito. "Narito, tumitingin ka sa isang spike na tatlong beses na mas malaki. Nakikita namin ang tungkol sa 150 hanggang 300 na pag-atake bawat araw, na hindi ang normal na dami para sa mga pag-atake na nauugnay sa balita."

Profile ng isang CrowdStrike-Themed Scam

Ang diskarte sa likod ng mga scam na ito ay malinaw: sa maraming mga gumagamit ng malalaking korporasyon na hindi makakonekta sa mga serbisyo ng CrowdStrike, sinasamantala ng mga cybercriminal ang kahinaang ito. Ang naka-target na katangian ng mga pag-atake na ito ay nagpapaiba sa kanila mula sa iba pang may temang scam, gaya ng mga nauugnay sa mga kaganapang pampulitika. Ang mga biktima ay kadalasang mas mahusay sa teknikal at may kaalaman tungkol sa cybersecurity.

Ginagaya ng mga attacker ang CrowdStrike, kaugnay na teknikal na suporta, o maging ang mga nakikipagkumpitensyang kumpanya na nag-aalok ng kanilang sariling "mga pag-aayos." Ang mga phishing at typosquatting na domain gaya ng crowdstrikefix[.]com, crowdstrikeupdate[.]com, at www.microsoftcrowdstrike[.]com ay lumitaw, na may higit sa 2,000 na mga domain na natukoy.

Ang mga domain na ito ay ginagamit upang ipamahagi ang malware, kabilang ang isang ZIP file na nagpapanggap bilang isang hotfix na naglalaman ng HijackLoader (kilala rin bilang IDAT Loader), na kasunod na naglo-load ng RemCos RAT. Ang file na ito ay unang naiulat mula sa Mexico at may kasamang Spanish-language na filename, na nagmumungkahi ng pagtutok sa mga customer ng CrowdStrike sa Latin America.

Sa isa pang pagkakataon, nagpadala ang mga attacker ng phishing email na may hindi magandang disenyong PDF attachment. Naglalaman ang PDF ng link para mag-download ng ZIP file na may executable. Kapag inilunsad, ang executable ay humingi ng pahintulot na mag-install ng isang update, na naging isang wiper. Inaangkin ng pro-Hamas hacktivist group na "Handala" ang pananagutan, na nagsasaad na "dosena" ng mga organisasyong Israeli ang nawalan ng ilang terabytes ng data bilang resulta.

Pagprotekta Laban sa Mga Banta na Ito

Maaaring protektahan ng mga organisasyon ang kanilang sarili sa pamamagitan ng pagpapatupad ng mga blocklist, paggamit ng mga tool sa proteksyon ng DNS, at pagtiyak na humingi lamang sila ng suporta mula sa opisyal na website ng CrowdStrike at mga channel ng serbisyo sa customer. Iminumungkahi ni Lenguito na ang pag-atake sa mga pag-atake ay nasa maagang yugto pa rin nito ngunit malamang na huminto sa mga darating na linggo. "Sa pangkalahatan, ang mga kampanyang ito ay tumatagal ng dalawa hanggang tatlong linggo," pag-obserba niya.

Sa pamamagitan ng pananatiling mapagbantay at umaasa sa mga na-verify na mapagkukunan para sa teknikal na suporta, maaaring pagaanin ng mga organisasyon ang mga panganib na dulot ng mga sopistikado at naka-target na pag-atake ng phishing na ito.

Naglo-load...