Lừa đảo CrowdStrike

CrowdStrike, một công ty an ninh mạng nổi tiếng, đã vô tình gây ra tình trạng ngừng hoạt động hệ thống trên diện rộng do bản cập nhật Windows bị lỗi vào ngày 19 tháng 7 năm 2024. Sự cố kỹ thuật này không chỉ làm gián đoạn hoạt động mà còn mở ra cơ hội cho tội phạm mạng khai thác các hệ thống dễ bị tấn công để thực hiện các hoạt động đe dọa.

Phân phối phần mềm độc hại thông qua các bản cập nhật giả mạo

Một trong những phương pháp chính mà tội phạm mạng sử dụng là phân phối phần mềm độc hại được ngụy trang dưới dạng các bản cập nhật CrowdStrike hợp pháp. Những cập nhật gian lận này bao gồm:

1. Remcos RAT nhắm mục tiêu khách hàng của ngân hàng BBVA : Một chiến dịch nhắm mục tiêu vào khách hàng của ngân hàng BBVA đã sử dụng bản cập nhật CrowdStrike Hotfix giả mạo. Được ngụy trang dưới dạng bảo trì phần mềm thiết yếu, thay vào đó, bản cập nhật này đã cài đặt Trojan truy cập từ xa Remcos (RAT) . Phần mềm độc hại này cho phép truy cập từ xa trái phép vào các máy tính bị nhiễm, tạo điều kiện cho hoạt động gián điệp, đánh cắp dữ liệu và xâm phạm các hệ thống nhạy cảm hơn nữa.
2. Trình xóa dữ liệu qua email lừa đảo : Trong một trường hợp khác, tội phạm mạng đã phân phối các email giả dạng bản cập nhật CrowdStrike. Những email này hướng dẫn người nhận tải xuống tệp ZIP được cho là chứa bản vá bảo mật cần thiết. Tuy nhiên, tệp thực sự chứa phần mềm độc hại xóa dữ liệu. Trình xóa dữ liệu được thiết kế để xóa hoặc làm hỏng dữ liệu trên các hệ thống bị ảnh hưởng mà không thể phục hồi được, gây ra những tác động nghiêm trọng về hoạt động và mất dữ liệu cho nạn nhân.

Kế hoạch khai thác sự cố

Lợi dụng sự hỗn loạn do lỗi cập nhật của CrowdStrike, những kẻ lừa đảo đã tung ra nhiều âm mưu lừa đảo khác nhau:

• Mã thông báo tiền điện tử giả: Những kẻ lừa đảo đã quảng cáo các mã thông báo hư cấu như $CROWDSTRIKE hoặc $CROWDSTROKE, lôi kéo các cá nhân không nghi ngờ tiết lộ thông tin cá nhân hoặc chuyển tiền điện tử một cách giả vờ.
• Đề nghị bồi thường: Bằng cách mạo danh các thực thể hợp pháp, những kẻ lừa đảo đưa ra đề nghị bồi thường cho những người dùng bị ảnh hưởng. Những lời đề nghị này nhằm mục đích lừa nạn nhân tiết lộ thông tin nhạy cảm, trả tiền cho các dịch vụ không tồn tại hoặc cấp quyền truy cập từ xa vào máy tính của họ. Những hành động như vậy có thể dẫn đến lây nhiễm thêm phần mềm độc hại, tổn thất tài chính và vi phạm dữ liệu.

Kênh phân phối và kỹ thuật

Những kẻ lừa đảo sử dụng nhiều kênh và kỹ thuật lừa đảo khác nhau để truyền bá âm mưu của chúng:

• Email lừa đảo : Email cập nhật CrowdStrike giả mạo được phát tán rộng rãi, lợi dụng lòng tin vào các bản cập nhật phần mềm hợp pháp để đánh lừa người nhận tải xuống phần mềm độc hại.

• Trang web giả mạo và kỹ thuật xã hội : Kẻ lừa đảo đã tạo các trang web giả mạo giống như các dịch vụ hợp pháp hoặc cổng mạng nội bộ (ví dụ: Mạng nội bộ BBVA), lừa người dùng cài đặt phần mềm độc hại.

• Tài khoản mạng xã hội bị xâm phạm : Các bản cập nhật gian lận cũng được phát tán thông qua các tài khoản bị xâm nhập trên các nền tảng như X (trước đây là Twitter), lợi dụng một lượng lớn đối tượng để phát tán các liên kết và nội dung độc hại.

Sự cố liên quan đến bản cập nhật bị lỗi của CrowdStrike đã nhấn mạnh sự cần thiết phải có các biện pháp an ninh mạng mạnh mẽ và sự cảnh giác của người dùng. Tội phạm mạng nhanh chóng lợi dụng sự gián đoạn do lỗi cập nhật gây ra, triển khai phần mềm độc hại tinh vi và dàn dựng các âm mưu lừa đảo. Người dùng cũng như tổ chức phải luôn cảnh giác trước các nỗ lực lừa đảo, email đáng ngờ và các chiến thuật lừa đảo trực tuyến để giảm nguy cơ trở thành nạn nhân của các hoạt động không an toàn đó. Những nỗ lực của các thực thể hợp pháp, chẳng hạn như việc Microsoft phát hành bản sửa lỗi chính hãng, có vai trò then chốt trong việc giảm thiểu hậu quả từ những sự cố như vậy và khôi phục niềm tin vào các biện pháp bảo mật kỹ thuật số.