Gefälschte CrowdStrike-Updates verbreiten Malware und Datenlöscher

Ein fehlerhaftes Software-Update des US-amerikanischen Cybersicherheitsanbieters CrowdStrike verursachte am Freitag einen massiven Ausfall für Microsofts Windows-basierte Geräte weltweit.

Es wurde beobachtet, dass Bedrohungsakteure diesen fehlerhaften Update ausnutzen, um Unternehmen mit Datenlöschern und Fernzugriffstools anzugreifen.

Für diejenigen, die es nicht wissen: 8,5 Millionen Windows-Geräte waren betroffen, da der CrowdStrike Falcon-Sensor, eine Sicherheitslösung, die auf Windows-Geräten installiert ist, ausgefallen ist, was dazu führte, dass sie abstürzten und die Fehlermeldung „Blue Screen of Death“ (BSOD) auf den betroffenen Geräten angezeigt wurde.

Nach dem Ausfall erkannte CrowdStrike das Problem, rollte das problematische Update zurück und stellte einen Fix bereit. Es veröffentlichte auch relevante Anleitungen für Anbieter, damit betroffene Unternehmen und Organisationen die notwendigen Maßnahmen ergreifen können.

Selbst Microsoft hat ein Wiederherstellungstool veröffentlicht, um mit dem CrowdStrike-Problem umzugehen.

Trotz dieser präventiven Maßnahmen haben Forscher und Regierungsbehörden einen Anstieg von Phishing-E-Mails festgestellt, die Unternehmen und Einzelpersonen auffordern, einen legitim aussehenden Hotfix für das Problem herunterzuladen und zu installieren.

Dieser Vorfall wurde erstmals am Samstag von dem Cybersicherheitsforscher g0njxa gemeldet. Es handelt sich um eine Malware-Kampagne, die das Remcos RAT installiert und als gefälschtes CrowdStrike-Hotfix-Update an Kunden der BBVA-Bank geliefert wird.

Die bösartige Datei installiert HijackLoader, der dann das Remcos RAT (Remote Access Tool) auf das infizierte System liefert.

Der Name der ZIP-Archivdatei, die die Malware enthielt, lautet „crowdstrike-hotfix“ und wurde über eine Phishing-Website, hxxps://portalintranetgrupobbva[.]com, verteilt, die vorgab, ein BBVA-Intranetportal zu sein.

Darüber hinaus wurden Angreifer gesichtet, die einen Datenlöscher über gefälschte CrowdStrike-Hotfixes verbreiten.

Die Malware-Analyseplattform AnyRun hat Hinweise darauf gemeldet, dass böswillige Akteure versuchen, CrowdStrike durch Phishing-Betrügereien zu imitieren.

„Es dezimiert das System, indem es Dateien mit Null-Bytes überschreibt und dann darüber über #Telegram berichtet“, sagt AnyRun.

Im Zusammenhang mit diesem Datenlöscher übernahm die pro-iranische Hacktivistengruppe Handala die Verantwortung für den Angriff.

Sie erklärte auf Twitter, dass sie E-Mails an israelische Unternehmen geschickt habe, die sich als CrowdStrike ausgaben und den Datenlöscher lieferten.

Die Bedrohungsakteure sendeten E-Mails von der Domain „crowdstrike.com.vc“, um Kunden zu überzeugen, ein Tool herunterzuladen, das das CrowdStrike-Problem beheben und die Windows-Systeme wieder normalisieren würde.

Darüber hinaus enthielt die Phishing-E-Mail, die Handala an die gezielten Unternehmen sendete, ein PDF, das von BleepingComputer gesehen wurde und detaillierte Anweisungen enthielt, wie das gefälschte Update angewendet werden kann, sowie einen Link zum Herunterladen einer ZIP-Datei, die eine ausführbare ZIP-Datei mit dem Namen „Crowdstrike.exe“ enthielt.

Wenn dieses gefälschte CrowdStrike-Update ausgeführt wird, wird der Datenlöscher heruntergeladen und in einen Ordner unter %Temp% extrahiert und dann gestartet, um Dateien und Daten, die auf dem Gerät gespeichert sind, zu überschreiben.

In einem separaten Blogbeitrag hat auch CrowdStrike vor dem Anstieg von Phishing-E-Mails gewarnt, die angeblich von CrowdStrike-Support stammen, sich als CrowdStrike-Mitarbeiter in Telefonanrufen ausgeben, sich als unabhängige Forscher ausgeben, die behaupten, Beweise dafür zu haben, dass das technische Problem mit einem Cyberangriff verbunden ist, und Remediation-Einblicke sowie den Verkauf von Skripten anbieten, die behaupten, die Wiederherstellung von dem Problem mit dem Inhaltsupdate zu automatisieren.

George Kurtz, Gründer und CEO von CrowdStrike, hat die Kunden aufgefordert, wachsam zu bleiben und sicherzustellen, dass sie mit offiziellen Vertretern von CrowdStrike kommunizieren, da sie erwarten, dass Gegner und böswillige Akteure diesen Vorfall ausnutzen.

„Kunden wird geraten, das Support-Portal auf Updates zu überprüfen. Wir werden auch weiterhin die neuesten Informationen hier und auf unserem Blog bereitstellen, sobald sie verfügbar sind.

Wir empfehlen Organisationen, zu überprüfen, ob sie über offizielle Kanäle mit Vertretern von CrowdStrike kommunizieren“, schrieb das Unternehmen in einem Blogbeitrag.