Поддельные обновления CrowdStrike нацелены на компании с вредоносным ПО, чистящим данные

Угрожающие организации используют массовые сбои в работе предприятий, вызванные выходом глючного обновления CrowdStrike в пятницу, для атак на компании с помощью программ для очистки данных и инструментов удаленного доступа.

В то время как компании ищут помощи для исправления пострадавших узлов Windows, исследователи и правительственные агентства заметили увеличение числа фишинговых писем, пытающихся воспользоваться ситуацией.

Официальный канал связи

В сегодняшнем обновлении CrowdStrike заявила, что «активно помогает клиентам», пострадавшим от недавнего обновления содержимого, которое привело к краху миллионов хостов Windows по всему миру.

Компания советует клиентам убедиться, что они общаются с законными представителями по официальным каналам, поскольку «противники и плохие актеры будут пытаться использовать подобные события в своих целях».

«Я призываю всех сохранять бдительность и убедиться, что вы общаетесь с официальными представителями CrowdStrike. Наш блог и техническая поддержка будут оставаться официальными каналами для получения последних обновлений», - Джордж Курц, генеральный директор CrowdStrike.

Национальный центр кибербезопасности Великобритании (NCSC) также предупредил, что заметил увеличение числа фишинговых сообщений, направленных на использование перебоев в работе.

Платформа автоматизированного анализа вредоносного ПО AnyRun заметила «увеличение числа попыток выдать себя за CrowdStrike, что потенциально может привести к фишингу» [1, 2, 3].

Вредоносное ПО, замаскированное под исправления и обновления

В субботу AnyRun сообщила, что злоумышленники начали использовать инцидент с CrowdStrike для доставки HijackLoader, который загружал в зараженную систему инструмент удаленного доступа Remcos.

Чтобы обманом заставить жертву установить вредоносную программу, злоумышленники маскировали полезную нагрузку HijackLoader в архив WinRAR, обещая доставить исправление от CrowdStrike.

В другом предупреждении AnyRun сообщает, что злоумышленники также распространяют чистильщика данных под видом доставки обновления от CrowdStrike.

«Он разрушает систему, перезаписывая файлы с нулевыми байтами, а затем сообщает об этом через #Telegram», - говорится в сообщении AnyRun.

В другом примере платформа анализа вредоносного ПО отмечает, что злоумышленники начали распространять вредоносные программы другого типа, выдавая их за обновления или исправления ошибок CrowdStrike.

Один вредоносный исполняемый файл был доставлен по ссылке в PDF-файле, содержащем части официального обновления от CrowdStrike. URL-адрес вел на архив с именем update.zip, который содержал вредоносный исполняемый файл CrowdStrike.exe.

Миллионы узлов Windows потерпели крах

Дефект в обновлении программного обеспечения CrowdStrike оказал огромное влияние на системы Windows во многих организациях, что сделало его слишком хорошей возможностью для киберпреступников.

По данным Microsoft, дефектное обновление «затронуло 8,5 миллиона Windows-устройств, или менее одного процента всех Windows-машин».

Ущерб был нанесен за 78 минут, между 04:09 UTC и 05:27 UTC.

Несмотря на небольшой процент затронутых систем и усилия CrowdStrike по быстрому устранению проблемы, последствия оказались огромными.

Компьютерные сбои привели к отмене тысяч авиарейсов, нарушили работу финансовых компаний, привели к сбоям в работе больниц, СМИ, железных дорог и даже повлияли на работу экстренных служб.

В субботней записи в блоге CrowdStrike объясняет, что причиной сбоев стало обновление файла канала (конфигурации датчика) на хостах Windows (версии 7.11 и выше), которое вызвало логическую ошибку, приведшую к сбою.

Хотя файл канала, ответственный за сбои, был идентифицирован и больше не вызывает проблем, компании, которые все еще пытаются вернуть системы к нормальной работе, могут следовать инструкциям CrowdStrike для восстановления отдельных узлов, ключей BitLocker и облачных сред.