Хакеры используют инцидент с CrowdStrike для распространения вредоносного ПО
Хакеры воспользовались недавним инцидентом с CrowdStrike, чтобы атаковать пользователей, ищущих решение проблемы, с помощью вредоносного ПО. Эксперты предупреждают, что эти кампании могут быть достаточно изобретательными, поскольку на первый взгляд они действительно могут показаться попыткой устранить проблему.
Фальшивый документ
Компания CrowdStrike наблюдала фишинговую кампанию, в которой злоумышленники распространяют документ под названием «New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows.docm». Этот документ содержит копию бюллетеня поддержки Microsoft, который якобы инструктирует пользователя, как использовать новый инструмент восстановления для автоматического удаления неисправного драйвера CrowdStrike с компьютера.
Инфекция Daolpu
Однако документ также содержит макросы, которые в конечном итоге загружают инфостилер. Макрос — это функция Microsoft Office, используемая для автоматизации повторяющихся задач. В течение многих лет макросы злоупотреблялись для распространения вредоносного ПО, что привело к тому, что Microsoft фактически отключила эту функцию. Тем не менее хакеры продолжают использовать макросы для установки инфостилера под названием Daolpu. Этот вредоносный код крадет учетные данные, историю браузера и файлы cookie для аутентификации в Chrome, Edge и Firefox. Он также получает доступ к информации, хранящейся в браузере Cốc Cốc, популярном во Вьетнаме, что может указывать на местоположение или происхождение злоумышленников.
Последствия для крупных организаций
Ошибочное обновление CrowdStrike привело к сбоям на множестве компьютеров по всему миру, заставив их войти в бесконечный цикл перезагрузки. Это повлияло на работу крупных организаций, включая банки, авиакомпании и телевизионные станции.
Реакция киберпреступников
Неудивительно, что этот инцидент привлек киберпреступников, которые использовали его для компрометации устройств, кражи конфиденциальной информации и, возможно, денег.
Предупреждение CISA
Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) также предупредило о продолжающейся фишинговой кампании, рекомендуя пользователям избегать нажатия на подозрительные ссылки и письма. CISA зафиксировало несколько кампаний, в которых злоумышленники выдавали себя за представителей CrowdStrike или ИТ-специалистов, предлагая быстрое решение проблемы. В одном из таких случаев мошенники запрашивали оплату в криптовалюте за исправление.
Другая кампания
Кроме того, была выявлена мошенническая кампания, нацеленная на клиентов банка BBVA. Злоумышленники предлагали фальшивое обновление, выдавая его за исправление от CrowdStrike, которое на самом деле устанавливало инструмент удаленного доступа Remcos (RAT).
Источник: TechRadar
