Ложные исправления CrowdStrike распространяют вредоносное ПО и стиратели данных

Неисправное обновление программного обеспечения от американского поставщика кибербезопасности CrowdStrike вызвало массовые сбои для устройств на базе Windows от Microsoft по всему миру в пятницу.

Наблюдается, что злоумышленники используют этот сбой для нацеливания на компании с помощью стирателей данных и инструментов удаленного доступа.

Для тех, кто не в курсе, 8,5 миллиона устройств Windows пострадали из-за сбоя сенсора CrowdStrike Falcon, решения безопасности, установленного на устройствах Windows, что привело к их сбоям и отображению сообщения об ошибке «Синий экран смерти» (BSOD) на затронутых устройствах.

После сбоя CrowdStrike признала проблему, откатила проблемное обновление и выпустила исправление. Она также опубликовала соответствующие рекомендации для поставщиков, чтобы пострадавшие компании и организации могли предпринять необходимые действия.

Даже Microsoft выпустила инструмент восстановления для решения проблемы с CrowdStrike.

Несмотря на эти профилактические меры, исследователи и государственные учреждения заметили увеличение фишинговых писем, которые призывают компании и частных лиц загрузить и установить выглядящее легитимно исправление для этой проблемы.

Этот инцидент был впервые сообщен исследователем кибербезопасности g0njxa в субботу. Он касается кампании вредоносного ПО, которая устанавливает Remcos RAT и распространяется как фальшивое обновление CrowdStrike Hotfix, нацеленное на клиентов банка BBVA.

Вредоносный файл устанавливает HijackLoader, который затем доставляет Remcos RAT (инструмент удаленного доступа) на зараженную систему.

Имя ZIP-архива, который содержал вредоносное ПО, — «crowdstrike-hotfix», и он распространялся через фишинговый сайт, hxxps://portalintranetgrupobbva[.]com, который выдавал себя за портал Intranet BBVA.

Кроме того, злоумышленники были замечены, распространяющими стиратель данных через фальшивые исправления CrowdStrike.

Платформа анализа вредоносного ПО AnyRun сообщила о признаках того, что злоумышленники пытаются выдать себя за CrowdStrike через фишинговые схемы.

«Он уничтожает систему, перезаписывая файлы нулевыми байтами, а затем сообщает об этом через #Telegram», — говорит AnyRun.

В связи с этим стирателем данных про-иранская хактивистская группа Handala взяла на себя ответственность за атаку.

Она заявила в Twitter, что отправила электронные письма израильским компаниям, замаскировавшись под CrowdStrike, доставляя стиратель данных.

Злоумышленники отправили электронные письма с домена «crowdstrike.com.vc», убеждая клиентов загрузить инструмент, который исправит проблему CrowdStrike и вернет системы Windows в нормальное состояние.

Кроме того, фишинговое письмо, отправленное Handala целевым компаниям, включало PDF, который был увиден BleepingComputer и содержал подробные инструкции о том, как применить фальшивое обновление, и ссылку для загрузки ZIP-файла, который содержал исполняемый zip-файл с именем «Crowdstrike.exe».

Когда это фальшивое обновление CrowdStrike выполняется, стиратель данных загружается и извлекается в папку под %Temp%, а затем запускается для перезаписи файлов и данных, хранящихся на устройстве.

В отдельном блоге CrowdStrike также предупредила об увеличении фишинговых писем, которые якобы от поддержки CrowdStrike, выдавая себя за сотрудников CrowdStrike в телефонных звонках, выдавая себя за независимых исследователей, утверждая, что у них есть доказательства того, что техническая проблема связана с кибератакой, и предлагая идеи по устранению и продажу скриптов, которые якобы автоматизируют восстановление от проблемы с обновлением контента.

Джордж Курц, основатель и генеральный директор CrowdStrike, призвал клиентов оставаться бдительными и убедиться, что они общаются с официальными представителями CrowdStrike, так как они ожидают, что противники и недобросовестные лица воспользуются этим инцидентом.

«Клиентам рекомендуется проверять портал поддержки на наличие обновлений. Мы также продолжим предоставлять последнюю информацию здесь и в нашем блоге, как только она станет доступна.

Мы рекомендуем организациям убедиться, что они общаются с представителями CrowdStrike через официальные каналы», — написала компания в блоге.