Correções Falsas do CrowdStrike propagam Malware e Limpadores de Dados
Atacantes estão aproveitando a interrupção massiva causada pela recente atualização do CrowdStrike para atacar empresas com limpadores de dados e ferramentas de acesso remoto. Enquanto as empresas buscam soluções para corrigir os hosts Windows afetados, pesquisadores e agências governamentais notaram um aumento nos e-mails de phishing explorando a situação.
Comunicação Oficial
A CrowdStrike anunciou que está "ajudando ativamente os clientes" afetados pela atualização que derrubou milhões de hosts Windows globalmente. A empresa enfatiza a importância de verificar a autenticidade dos representantes com quem se comunica, pois "adversários e agentes maliciosos tentarão explorar eventos como este". George Kurtz, CEO da CrowdStrike, aconselha: "Encorajamos todos a permanecerem vigilantes e garantirem que estão se envolvendo com os representantes oficiais do CrowdStrike. Nosso blog e suporte técnico continuarão sendo os canais oficiais para as últimas atualizações."
O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) também emitiu um alerta sobre o aumento das mensagens de phishing visando tirar proveito da interrupção.
Malware Disfarçado como Correções e Atualizações
No sábado, o pesquisador de segurança cibernética g0njxa relatou uma campanha de malware que visava clientes do banco BBVA, oferecendo uma falsa atualização do CrowdStrike Hotfix que instala o Remcos RAT. O hotfix falso foi promovido por meio de um site de phishing, portalintranetgrupobbva[.]com, que se passava por um portal da Intranet BBVA. O arquivo malicioso incluía instruções para instalar a atualização a fim de evitar erros ao conectar-se à rede interna da empresa.
O AnyRun, que também twittou sobre a campanha, relatou que o hotfix falso entrega o HijackLoader, que então descarrega a ferramenta de acesso remoto Remcos no sistema infectado.
Invasores Distribuem Limpadores de Dados
Além disso, o AnyRun alertou que os invasores estão distribuindo um limpador de dados sob o pretexto de uma atualização do CrowdStrike. Este limpador destrói o sistema substituindo arquivos por bytes zero e, em seguida, relata isso via #Telegram. Esta campanha foi reivindicada pelo grupo hacktivista pró-iraniano Handala, que afirmou ter se passado pela CrowdStrike em e-mails para empresas israelenses.
Os e-mails de phishing enviados pelos agentes do Handala utilizavam o domínio 'crowdstrike.com.vc' e instruíam os clientes a baixar um arquivo ZIP malicioso que continha um executável chamado 'Crowdstrike.exe'. Uma vez executado, o limpador de dados era extraído para uma pasta em %Temp% e iniciava a destruição dos dados armazenados no dispositivo.
Impacto da Atualização
A atualização defeituosa do CrowdStrike teve um impacto significativo nos sistemas Windows em várias organizações. De acordo com a Microsoft, "afetou 8,5 milhões de dispositivos Windows, ou menos de um por cento de todas as máquinas Windows". O dano ocorreu em 78 minutos, entre 04:09 UTC e 05:27 UTC, resultando no cancelamento de milhares de voos, interrupções em empresas financeiras, hospitais, organizações de mídia, ferrovias e até serviços de emergência.
Em uma postagem no blog, a CrowdStrike explicou que a causa da interrupção foi uma atualização de arquivo para hosts do Windows (versão 7.11 e superior) que desencadeou um erro de lógica, levando à falha. Embora o problema tenha sido identificado e resolvido, as empresas ainda lutam para restaurar os sistemas à operação normal e devem seguir as instruções do CrowdStrike para recuperar hosts individuais, chaves BitLocker e ambientes baseados em nuvem.
Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que transforma riscos cibernéticos em respostas confiáveis. Agende uma demo aqui
Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.