Computer Security Cảnh báo lừa đảo! Tội phạm mạng khai thác tình trạng...

Cảnh báo lừa đảo! Tội phạm mạng khai thác tình trạng ngừng hoạt động của CrowdStrike bằng các bản cập nhật sửa lỗi có chứa phần mềm độc hại

Sau sự cố ngừng hoạt động của CrowdStrike vào tuần trước , tội phạm mạng đã nắm bắt cơ hội để phát động một làn sóng tấn công kỹ thuật xã hội nhằm vào khách hàng của nhà cung cấp dịch vụ bảo mật . Sự kiện này làm gián đoạn việc di chuyển bằng đường hàng không, đóng cửa các cửa hàng và các cơ sở y tế bị ảnh hưởng, kéo theo đó là sự gia tăng các hoạt động lừa đảo được các cơ quan an ninh mạng quốc gia ở Mỹ, Anh, Canada và Úc báo cáo.

Theo Luigi Lenguito, Giám đốc điều hành của BforeAI, các cuộc tấn công hậu CrowdStrike này đáng chú ý là có quy mô và mục tiêu rõ ràng hơn so với các cuộc tấn công thông thường xảy ra sau các sự kiện tin tức lớn. Lenguito lưu ý: “Trong cuộc tấn công vào tuần trước nhằm vào Trump, chúng tôi đã chứng kiến sự gia tăng đột biến vào ngày đầu tiên của 200 mối đe dọa mạng có liên quan, sau đó giảm xuống còn 40-50 mỗi ngày”. "Ở đây, bạn đang thấy mức tăng đột biến lớn gấp ba lần. Chúng tôi thấy khoảng 150 đến 300 cuộc tấn công mỗi ngày, đây không phải là con số bình thường đối với các cuộc tấn công liên quan đến tin tức."

Hồ sơ của một vụ lừa đảo theo chủ đề CrowdStrike

Chiến lược đằng sau những trò lừa đảo này rất rõ ràng: với việc nhiều người dùng của các tập đoàn lớn không thể kết nối với dịch vụ của CrowdStrike, tội phạm mạng sẽ khai thác lỗ hổng này. Bản chất có mục tiêu của các cuộc tấn công này giúp phân biệt chúng với các trò lừa đảo theo chủ đề khác, chẳng hạn như các vụ liên quan đến sự kiện chính trị. Các nạn nhân thường thành thạo hơn về mặt kỹ thuật và hiểu biết về an ninh mạng.

Những kẻ tấn công đã mạo danh CrowdStrike, bộ phận hỗ trợ kỹ thuật liên quan hoặc thậm chí các công ty cạnh tranh đưa ra "bản sửa lỗi" của riêng họ. Các miền lừa đảo và đánh máy như Crowdtrikefix[.]com, Crowstrikeupdate[.]com và www.microsoftcrowdstrike[.]com đã xuất hiện, với hơn 2.000 miền như vậy được xác định.

Các miền này đang được sử dụng để phát tán phần mềm độc hại, bao gồm tệp ZIP giả dạng hotfix chứa HijackLoader (còn được gọi là Trình tải IDAT), sau đó tải RemCos RAT. Tệp này lần đầu tiên được báo cáo từ Mexico và bao gồm tên tệp bằng tiếng Tây Ban Nha, gợi ý tập trung vào khách hàng của CrowdStrike ở Mỹ Latinh.

Trong một trường hợp khác, những kẻ tấn công đã gửi một email lừa đảo có tệp đính kèm PDF được thiết kế kém. Tệp PDF chứa liên kết để tải xuống tệp ZIP có tệp thực thi. Khi khởi chạy, tệp thực thi đã yêu cầu quyền cài đặt bản cập nhật, hóa ra đó là một bản cập nhật. Nhóm hacktivist ủng hộ Hamas "Handala" đã nhận trách nhiệm, nói rằng kết quả là "hàng chục" tổ chức của Israel đã mất vài terabyte dữ liệu.

Bảo vệ chống lại những mối đe dọa này

Các tổ chức có thể tự bảo vệ mình bằng cách triển khai danh sách chặn, sử dụng các công cụ DNS bảo vệ và đảm bảo rằng họ chỉ tìm kiếm sự hỗ trợ từ trang web chính thức và các kênh dịch vụ khách hàng của CrowdStrike . Lenguito cho rằng sự gia tăng các cuộc tấn công vẫn đang ở giai đoạn đầu nhưng có khả năng giảm dần trong những tuần tới. Ông nhận xét: “Nói chung, các chiến dịch này kéo dài từ hai đến ba tuần”.

Bằng cách luôn cảnh giác và dựa vào các nguồn đã được xác minh để được hỗ trợ kỹ thuật, các tổ chức có thể giảm thiểu rủi ro do các cuộc tấn công lừa đảo có chủ đích và tinh vi này gây ra.

Đang tải...