Computer Security Сповіщення про шахрайство! Кіберзлочинці використовують...

Сповіщення про шахрайство! Кіберзлочинці використовують збій CrowdStrike за допомогою оновлень Fix, які містять зловмисне програмне забезпечення

Після збою CrowdStrike минулого тижня кіберзлочинці скористалися можливістю запустити хвилю атак соціальної інженерії, націлених на клієнтів постачальника засобів безпеки . Ця подія, яка порушила авіасполучення, закрила магазини та вплинула на медичні установи, супроводжувалася сплеском фішингової активності, про який повідомили національні агентства з кібербезпеки в США, Великобританії, Канаді та Австралії.

За словами Луїджі Ленгвіто, генерального директора BforeAI, ці атаки після CrowdStrike є помітно більш плідними та цілеспрямованими порівняно з типовими атаками, які відбуваються після основних подій новин. «Під час атаки на Трампа минулого тижня ми побачили сплеск у перший день 200 пов’язаних кіберзагроз, які потім зменшилися до 40-50 на день», — зазначив Ленгвіто. «Тут ви бачите сплеск у три рази більший. Ми бачимо приблизно від 150 до 300 атак на день, що не є нормальним обсягом для атак, пов’язаних із новинами».

Профіль шахрайства на тему CrowdStrike

Стратегія цих шахрайств зрозуміла: оскільки багато користувачів великих корпорацій не можуть підключитися до послуг CrowdStrike, кіберзлочинці використовують цю вразливість. Цілеспрямований характер цих атак відрізняє їх від інших тематичних шахрайств, наприклад, пов’язаних із політичними подіями. Жертви часто є більш технічно досвідченими та обізнаними щодо кібербезпеки.

Зловмисники видають себе за CrowdStrike, відповідну технічну підтримку або навіть конкуруючі компанії, які пропонують власні «виправлення». З’явилися такі домени, як crowdstrikefix[.]com, crowdstrikeupdate[.]com і www.microsoftcrowdstrike[.]com, і виявлено понад 2000 таких доменів.

Ці домени використовуються для розповсюдження зловмисного програмного забезпечення, включно з ZIP-файлом, який видається за виправлення, що містить HijackLoader (також відомий як IDAT Loader), який згодом завантажує RemCos RAT. Про цей файл вперше було повідомлено з Мексики та включав іспаномовні назви файлів, що свідчить про те, що він зосереджений на клієнтах CrowdStrike у Латинській Америці.

В іншому випадку зловмисники надіслали фішинговий електронний лист із погано оформленим PDF-додатком. PDF містив посилання для завантаження ZIP-файлу з виконуваним файлом. При запуску виконуваний файл запитував дозвіл на встановлення оновлення, яке виявилося вайпером. Відповідальність взяла на себе прохамасівська хактивістська група «Хандала», яка заявила, що в результаті «десятки» ізраїльських організацій втратили кілька терабайт даних.

Захист від цих загроз

Організації можуть захистити себе, створивши списки блокувань, використовуючи захисні інструменти DNS і переконавшись, що вони звертаються за підтримкою лише на офіційному веб-сайті CrowdStrike та в каналах обслуговування клієнтів. Lenguito припускає, що сплеск атак все ще знаходиться на початковій стадії, але, ймовірно, скоротиться протягом найближчих тижнів. «Загалом ці кампанії тривають два-три тижні», — зазначив він.

Зберігаючи пильність і покладаючись на перевірені джерела технічної підтримки, організації можуть зменшити ризики, пов’язані з цими складними та цілеспрямованими фішинговими атаками.

Завантаження...