Las soluciones falsas de CrowdStrike están propagando malware y borradores de datos

Una actualización de software defectuosa del proveedor de ciberseguridad con sede en EE. UU. CrowdStrike causó una gran interrupción en los dispositivos basados en Windows de Microsoft a nivel mundial el viernes.

Se ha observado que los actores de amenazas están explotando esta actualización defectuosa para atacar a las empresas con borradores de datos y herramientas de acceso remoto.

Para aquellos que no lo saben, 8.5 millones de dispositivos Windows se vieron afectados debido a un mal funcionamiento del sensor Falcon de CrowdStrike, una solución de seguridad instalada en dispositivos Windows, lo que provocó que se bloquearan y mostraran el mensaje de error de la Pantalla Azul de la Muerte (BSOD) en los dispositivos afectados.

Tras la interrupción, CrowdStrike reconoció el problema, revirtió la actualización problemática y desplegó una solución. También publicó una guía relevante para que las empresas y organizaciones afectadas puedan tomar las medidas necesarias.

Incluso Microsoft ha lanzado una Herramienta de Recuperación para abordar el problema de CrowdStrike.

A pesar de estas medidas preventivas, investigadores y agencias gubernamentales han notado un aumento en los correos electrónicos de phishing que instan a las empresas y a los individuos a descargar e instalar una solución rápida que parece legítima para el problema.

Este incidente fue reportado por primera vez por el investigador de ciberseguridad g0njxa el sábado. Se trata de una campaña de malware que instala el Remcos RAT y se entrega como una falsa actualización de Hotfix de CrowdStrike dirigida a los clientes del banco BBVA.

El archivo malicioso instala HijackLoader, que luego entrega el Remcos RAT (herramienta de acceso remoto) al sistema infectado.

El nombre del archivo ZIP que contenía el malware es “crowdstrike-hotfix”, y fue distribuido a través de un sitio de phishing, hxxps://portalintranetgrupobbva[.]com, que pretendía ser un portal de Intranet de BBVA.

Además, se ha observado que los atacantes distribuyen un borrador de datos a través de falsas soluciones rápidas de CrowdStrike.

La plataforma de análisis de malware AnyRun ha informado indicios de que actores maliciosos están intentando hacerse pasar por CrowdStrike a través de estafas de phishing.

“Destruye el sistema sobrescribiendo archivos con ceros y luego lo informa a través de #Telegram”, dice AnyRun.

En relación con este borrador de datos, el grupo hacktivista proiraní Handala se atribuyó la responsabilidad del ataque.

Afirmó en Twitter que había enviado correos electrónicos a empresas israelíes disfrazados de CrowdStrike entregando el borrador de datos.

Los actores de amenazas enviaron correos electrónicos desde el dominio “crowdstrike.com.vc” convenciendo a los clientes de descargar una herramienta que solucionaría el problema de CrowdStrike y devolvería los sistemas Windows a la normalidad.

Además, el correo electrónico de phishing enviado por Handala a las empresas objetivo incluía un PDF visto por BleepingComputer que contenía instrucciones detalladas sobre cómo aplicar la falsa actualización y un enlace para descargar un archivo ZIP, que contenía un archivo ejecutable comprimido llamado ‘Crowdstrike.exe.’

Cuando se ejecuta esta falsa actualización de CrowdStrike, se descarga y extrae el borrador de datos a una carpeta bajo %Temp% y luego se lanza para sobrescribir archivos y datos almacenados en el dispositivo.

En una publicación de blog separada, CrowdStrike también ha advertido sobre el aumento de correos electrónicos de phishing que afirman ser del soporte de CrowdStrike, haciéndose pasar por personal de CrowdStrike en llamadas telefónicas, posando como investigadores independientes, afirmando tener evidencia de que el problema técnico está vinculado a un ciberataque y ofreciendo información sobre remediación, así como la venta de scripts que afirman automatizar la recuperación del problema de actualización de contenido.

George Kurtz, fundador y CEO de CrowdStrike, ha instado a los clientes a permanecer alerta y asegurarse de que se comuniquen con representantes oficiales de CrowdStrike, ya que esperan que los adversarios y actores maliciosos exploten este incidente.

“Se aconseja a los clientes que revisen el portal de soporte para actualizaciones. También continuaremos proporcionando la información más reciente aquí y en nuestro blog a medida que esté disponible.

Recomendamos a las organizaciones verificar que están comunicándose con representantes de CrowdStrike a través de canales oficiales”, escribió la empresa en una publicación de blog.