Le falsi correzioni di CrowdStrike stanno diffondendo malware e cancellatori di dati

Un aggiornamento software difettoso del fornitore di cybersecurity con sede negli Stati Uniti, CrowdStrike, ha causato un’interruzione massiccia per i dispositivi basati su Windows di Microsoft a livello globale venerdì.

È stato osservato che gli attori delle minacce stanno sfruttando questo aggiornamento difettoso per mirare a aziende con cancellatori di dati e strumenti di accesso remoto.

Per chi non lo sapesse, 8,5 milioni di dispositivi Windows sono stati colpiti a causa di un malfunzionamento del sensore CrowdStrike Falcon, una soluzione di sicurezza installata sui dispositivi Windows, causando il loro arresto e la visualizzazione del messaggio di errore Blue Screen of Death (BSOD) sui dispositivi interessati.

Dopo l’interruzione, CrowdStrike ha riconosciuto il problema, ha annullato l’aggiornamento problematico e ha distribuito una correzione. Ha anche pubblicato linee guida pertinenti per i fornitori affinché le aziende e le organizzazioni colpite possano intraprendere le azioni necessarie.

Anche Microsoft ha rilasciato uno strumento di recupero per affrontare il problema di CrowdStrike.

Nonostante queste misure preventive, i ricercatori e le agenzie governative hanno notato un aumento delle email di phishing che esortano aziende e individui a scaricare e installare una correzione dall’aspetto legittimo per il problema.

Questo incidente è stato segnalato per la prima volta dal ricercatore di cybersecurity g0njxa sabato. Riguarda una campagna di malware che installa il Remcos RAT ed è consegnata come un falso aggiornamento Hotfix di CrowdStrike mirato ai clienti della banca BBVA.

Il file malevolo installa HijackLoader, che poi consegna il Remcos RAT (strumento di accesso remoto) al sistema infetto.

Il nome del file ZIP che trasportava il malware è “crowdstrike-hotfix”, ed è stato distribuito tramite un sito di phishing, hxxps://portalintranetgrupobbva[.]com, che si spacciava per un portale Intranet di BBVA.

Inoltre, sono stati avvistati attaccanti che distribuiscono un cancellatore di dati tramite falsi hotfix di CrowdStrike.

La piattaforma di analisi malware AnyRun ha riportato indicazioni che attori malevoli stanno tentando di impersonare CrowdStrike attraverso truffe di phishing.

“Decima il sistema sovrascrivendo i file con byte zero e poi lo riporta su #Telegram,” afferma AnyRun.

In relazione a questo cancellatore di dati, il gruppo hacktivista pro-iraniano Handala ha rivendicato la responsabilità dell’attacco.

Ha dichiarato su Twitter di aver inviato email a aziende israeliane travestite da CrowdStrike per consegnare il cancellatore di dati.

Gli attori delle minacce hanno inviato email dal dominio “crowdstrike.com.vc” convincendo i clienti a scaricare uno strumento che avrebbe risolto il problema di CrowdStrike e riportato i sistemi Windows alla normalità.

Inoltre, l’email di phishing inviata da Handala alle aziende mirate includeva un PDF visto da BleepingComputer che conteneva istruzioni dettagliate su come applicare il falso aggiornamento e un link per scaricare un file ZIP, che comprendeva un file zip eseguibile chiamato ‘Crowdstrike.exe.’

Quando questo falso aggiornamento di CrowdStrike viene eseguito, il cancellatore di dati viene scaricato ed estratto in una cartella sotto %Temp% e poi avviato per sovrascrivere file e dati memorizzati sul dispositivo.

In un post separato sul blog, anche CrowdStrike ha avvertito dell’aumento delle email di phishing che affermano di provenire dal supporto di CrowdStrike, impersonando il personale di CrowdStrike in telefonate, spacciandosi per ricercatori indipendenti, affermando di avere prove che il problema tecnico è collegato a un attacco informatico e offrendo informazioni di rimedio, e vendita di script che affermano di automatizzare il recupero dal problema dell’aggiornamento dei contenuti.

George Kurtz, Fondatore e CEO di CrowdStrike, ha esortato i clienti a rimanere vigili e a garantire di interagire con i rappresentanti ufficiali di CrowdStrike, poiché si aspettano che avversari e attori malevoli sfruttino questo incidente.

“Si consiglia ai clienti di controllare il portale di supporto per aggiornamenti. Continueremo anche a fornire le ultime informazioni qui e sul nostro blog man mano che saranno disponibili.

Raccomandiamo alle organizzazioni di verificare di comunicare con i rappresentanti di CrowdStrike attraverso canali ufficiali,” ha scritto l’azienda in un post sul blog.