Os cibercriminosos estão capitalizando a interrupção significativa dos negócios causada pela atualização falha da CrowdStrike na sexta-feira, mirando empresas com limpadores de dados e ferramentas de acesso remoto.
À medida que as empresas buscam ajuda para reparar hosts Windows afetados, pesquisadores e agências governamentais observaram um aumento nos e-mails de phishing tentando explorar a situação.
Comunicação oficial do canal
Em uma atualização hoje, a CrowdStrike anunciou que está “ajudando ativamente os clientes” afetados pela recente atualização de conteúdo que travou milhões de hosts Windows em todo o mundo.
A empresa aconselha os clientes a verificar se estão se comunicando com representantes legítimos por meio de canais oficiais, alertando que adversários e pessoas mal-intencionadas tentarão explorar eventos como este.”
“Eu encorajo todos a permanecerem vigilantes e garantirem que estão se envolvendo com representantes oficiais da CrowdStrike. Nosso blog e suporte técnico continuarão sendo os canais oficiais para as últimas atualizações”, disse George Kurtz, CEO da CrowdStrike.
O National Cyber Security Center (NCSC) do Reino Unido também alertou sobre um aumento nas mensagens de phishing tentando explorar a interrupção.
A plataforma de análise automatizada de malware AnyRun observou “um aumento nas tentativas de se passar por CrowdStrike que podem potencialmente levar a phishing” [1, 2, 3].
Malware disfarçado de correções e atualizações
No sábado, o pesquisador de segurança cibernética g0njxa relatou uma campanha de malware direcionada aos clientes do banco BBVA, oferecendo uma atualização falsa do CrowdStrike Hotfix que instala o Remcos RAT.
O hotfix falso foi promovido por meio de um site de phishing,portalintranetgrupobbva[.]com, que se passava por um portal de Intranet do BBVA.
O arquivo malicioso incluía instruções para funcionários e parceiros instalarem a atualização para evitar erros ao se conectar à rede interna da empresa.
“Atualização obrigatória para evitar erros de conexão e sincronização com a rede interna da empresa”, dizia o arquivo ‘instrucciones.txt’ em espanhol.
A AnyRun, que também tuitou sobre a campanha, declarou que o hotfix falso entrega o HijackLoader, que então instala a ferramenta de acesso remoto Remcos nosistema infectado.
Em outro aviso, a AnyRun anunciou que os invasores estão distribuindo um limpador de dados sob o disfarce de uma atualização do CrowdStrike.
“Ele dizima o sistema sobrescrevendo arquivos com zero bytes e então relata isso pelo #Telegram”, AnyRun relatou.
Esta campanha foi reivindicada pelo grupo hacktivista pró-iraniano Handala, que declarou no Twitter que eles personificaram o CrowdStrike em e-mails para empresas israelenses para distribuir o limpador de dados.
Os agentes da ameaça usaram o domínio ‘crowdstrike.com.vc‘ para enviar e-mails, dizendo aos clientes que uma ferramenta foi criada para colocar os sistemas Windows de volta online.
E-mail de phishing enviado pelos agentes da ameaça Handala
Os e-mails incluem um PDF, visto pelo BleepingComputer, com mais instruções sobre como executar a atualização falsa, bem como um link para baixar um arquivo ZIP malicioso de um serviço de hospedagem de arquivos. Este arquivo ZIP contém um executável chamado ‘Crowdstrike.exe.’
Anexo malicioso empurrando limpador de dados
Fonte: BleepingComputer
Assim que a atualização falsa do CrowdStrike é executada, o limpador de dados é extraído para uma pasta em %Temp% e iniciado para destruir dados armazenados no dispositivo.
Milhões de hosts Windows travaram
O defeito na atualização de software do CrowdStrike teve um impacto enorme nos sistemas Windows de várias organizações, tornando-se uma oportunidade boa demais para os criminosos cibernéticos deixarem passar.
De acordo com a Microsoft, a atualização defeituosa “afetou 8,5 milhões de dispositivos Windows, ou menos de um por cento de todas as máquinas Windows.”
O dano ocorreu em 78 minutos, entre 04:09 UTC e 05:27 UTC.
Apesar da baixa porcentagem de sistemas afetados e dos esforços rápidos da CrowdStrike para corrigir o problema, o impacto foi significativo.
Falhas de computador levaram a milhares de cancelamentos de voos, interromperam atividades emempresas financeiras, derrubaram hospitais, organizações de mídia, ferrovias e até afetaram serviços de emergência.
Em uma postagem post-mortem no blog no sábado, a CrowdStrike explicou que a causa da interrupção foi uma atualização do arquivo de canal (configuração do sensor) para hosts Windows (versão 7.11 e acima) que acionou um erro de lógica, levando a uma falha.
Embora o arquivo de canal responsável pelas falhas tenha sido identificado e não cause mais problemas, as empresas que ainda estão lutando para restaurar os sistemas às operações normais podem seguir as instruções da CrowdStrike para recuperar hosts individuais, Chaves do BitLocker e … href=”https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/#:~:text=How%20to%20Recover%20Cloud%2DBased%20Environment%20Resources”>ambientes baseados em nuvem.
Fonte: BleepingComputer, Ionut Ilascu
