Correções falsas da CrowdStrike estão espalhando malware e apagadores de dados

Uma atualização de software com falha do provedor de cibersegurança baseado nos EUA, CrowdStrike, causou uma grande interrupção para dispositivos baseados em Windows da Microsoft em todo o mundo na sexta-feira.

Foi observado que atores de ameaças estão explorando essa atualização problemática para atacar empresas com apagadores de dados e ferramentas de acesso remoto.

Para quem não sabe, 8,5 milhões de dispositivos Windows foram impactados devido a uma falha do sensor Falcon da CrowdStrike, uma solução de segurança instalada em dispositivos Windows, fazendo com que eles travassem e exibissem a mensagem de erro da Tela Azul da Morte (BSOD) nos dispositivos afetados.

Após a interrupção, a CrowdStrike reconheceu o problema, reverteu a atualização problemática e implementou uma correção. Também publicou orientações relevantes para que empresas e organizações afetadas possam tomar as medidas necessárias.

Até mesmo a Microsoft lançou uma Ferramenta de Recuperação para lidar com o problema da CrowdStrike.

Apesar dessas medidas preventivas, pesquisadores e agências governamentais notaram um aumento em e-mails de phishing que estão instando empresas e indivíduos a baixar e instalar uma correção que parece legítima para o problema.

Este incidente foi relatado pela primeira vez pelo pesquisador de cibersegurança g0njxa no sábado. Trata-se de uma campanha de malware que instala o Remcos RAT e é entregue como uma atualização falsa da CrowdStrike Hotfix, visando clientes do banco BBVA.

O arquivo malicioso instala o HijackLoader, que então entrega o Remcos RAT (ferramenta de acesso remoto) ao sistema infectado.

O nome do arquivo ZIP que carregava o malware é “crowdstrike-hotfix”, e foi distribuído através de um site de phishing, hxxps://portalintranetgrupobbva[.]com, que fingia ser um portal Intranet do BBVA.

Além disso, atacantes foram vistos distribuindo um apagador de dados através de correções falsas da CrowdStrike.

A plataforma de análise de malware AnyRun relatou indícios de que atores maliciosos estão tentando se passar pela CrowdStrike através de golpes de phishing.

“Isso dizima o sistema sobrescrevendo arquivos com bytes zero e depois reporta isso pelo #Telegram,” diz a AnyRun.

Em conexão com este apagador de dados, o grupo hacktivista pró-Irã Handala assumiu a responsabilidade pelo ataque.

Ele declarou no Twitter que havia enviado e-mails para empresas israelenses disfarçados de CrowdStrike entregando o apagador de dados.

Os atores de ameaça enviaram e-mails do domínio “crowdstrike.com.vc” convencendo clientes a baixar uma ferramenta que resolveria o problema da CrowdStrike e traria os sistemas Windows de volta à normalidade.

Além disso, o e-mail de phishing enviado pela Handala para empresas-alvo incluía um PDF visto pelo BleepingComputer que continha instruções detalhadas sobre como aplicar a atualização falsa e um link para baixar um arquivo ZIP, que compreendia um arquivo executável zip chamado ‘Crowdstrike.exe.’

Quando esta atualização falsa da CrowdStrike é executada, o apagador de dados é baixado e extraído para uma pasta sob %Temp% e então lançado para sobrescrever arquivos e dados armazenados no dispositivo.

Em um post de blog separado, a CrowdStrike também alertou sobre o aumento de e-mails de phishing que afirmam ser do suporte da CrowdStrike, se passando por funcionários da CrowdStrike em chamadas telefônicas, posando como pesquisadores independentes, alegando ter evidências de que o problema técnico está ligado a um ciberataque e oferecendo insights de remediação, e venda de scripts que afirmam automatizar a recuperação do problema de atualização de conteúdo.

George Kurtz, fundador e CEO da CrowdStrike, pediu aos clientes que permanecessem vigilantes e garantissem que se comunicassem com representantes oficiais da CrowdStrike, pois esperam que adversários e atores mal-intencionados explorem este incidente.

“Os clientes são aconselhados a verificar o portal de suporte para atualizações. Também continuaremos a fornecer as informações mais recentes aqui e em nosso blog à medida que estiverem disponíveis.

Recomendamos que as organizações verifiquem se estão se comunicando com representantes da CrowdStrike através de canais oficiais,” escreveu a empresa em um post de blog.