Компания CrowdStrike выпустила предупреждение о новом злоумышленнике, который использует инцидент с обновлением Falcon Sensor для распространения подозрительных установщиков, нацеленных на немецких клиентов в рамках высоко таргетированной кампании.
Кибербезопасностная фирма обнаружила неатрибутированную попытку фишинга 24 июля 2024 года, распространяющую поддельный установщик CrowdStrike Crash Reporter через веб-сайт, имитирующий немецкую организацию. Поддельный веб-сайт был создан 20 июля, после сбоя обновления, который затронул миллионы устройств Windows по всему миру.
Фишинговые атаки, эксплуатирующие проблему с обновлением CrowdStrike
Согласно команде Counter Adversary Operations компании CrowdStrike, веб-сайт использует JavaScript для загрузки и деобфускации установщика, который требует пароль для продолжения установки вредоносного ПО. Фишинговая страница включает ссылку на ZIP-архивный файл, содержащий вредоносный установщик InnoSetup, с исполняемым кодом, внедренным в файл JavaScript для обхода обнаружения.
Пользователи, запускающие поддельный установщик, получают запрос на ввод "Backend-Server" для продолжения, но конечная полезная нагрузка остается неизвестной. Кампания считается высоко таргетированной из-за защиты паролем и использования немецкого языка, что указывает на фокусировку на немецкоговорящих клиентах CrowdStrike.
Злоумышленник демонстрирует осведомленность о практиках операционной безопасности, регистрируя поддомен под доменом it[.]com и шифруя содержимое установщика для предотвращения анализа и атрибуции.
Фишинговый домен crowdstrike-office365[.]com размещает мошеннические архивные файлы, содержащие загрузчик Microsoft Installer (MSI), который выполняет кражу информации Lumma. ZIP-файл ("CrowdStrike Falcon.zip") содержит основанный на Python кражу информации Connecio, который собирает системную информацию и отправляет ее на SMTP-аккаунты.
Генеральный директор CrowdStrike Джордж Курц объявил, что 97% затронутых устройств Windows снова работают после глобального сбоя IT, вызванного проблемой с обновлением. Курц выразил сожаление по поводу перебоев и заверил в сосредоточенном и срочном ответе для восстановления доверия. Главный директор по безопасности Шон Генри также извинился за инцидент и пообещал обеспечить лучшую защиту от злоумышленников.
Анализ Bitsight выявляет паттерны трафика машин CrowdStrike
Анализ Bitsight машин CrowdStrike в организациях по всему миру выявил значительные всплески и падения трафика до и после сбоя IT, что побудило к дальнейшему расследованию возможных корреляций. Исследователь безопасности Педро Умбелино подчеркнул необходимость изучения связи между паттернами трафика и сбоем для лучшего понимания событий.
Для получения эксклюзивного контента следите за нами в Twitter и LinkedIn.