Chybná aktualizace bezpečnostního softwaru CrowdStrike stále doznívá. Zatímco po celém světě probíhají práce na opravě počítačů, které jsou tímto incidentem dotčeny, kyberzločinci nastalého chaosu zneužili k dalšímu zhoršení situace.
Společnost CrowdStrike objevila malware, který je distribuován v podobě komprimovaného archivu ZIP s názvem crowdstrike-hotfix.zip. Tento archiv obsahuje software typu payloader, který načítá škodlivý kód RemCos.
Španělské názvy souborů a instrukce v archivu naznačují, že tato kampaň pravděpodobně cílí na zákazníky společnosti CrowdStrike v Latinské Americe. To ale neznamená, že by se brzy nemohla objevit i v regionu Evropy.
Kybernetičtí zločinci se chopili příležitosti, kterou jim CrowdStrike nabídl
Kromě šíření malwaru se kyberzločinci na zákazníky společnosti CrowdStrike také zaměřují prostřednictvím phishingových kampaní. Rozesílají phishingové e-maily, vydávající se za podporu CrowdStrike, v telefonických hovorech napodobují zaměstnance CrowdStrike, vydávají se za nezávislé výzkumníky a nabízejí tipy na řešení problémů. Dokonce prodávají skripty pro automatické obnovení počítače po problému s aktualizacemi CrowdStrike.
V rámci kampaně také nakoupili celou řadu domén, které na incident CrowdStrike odkazují, například:
- crowdstrike-bsod[.]com,
- crowdstrikeupdate[.]com,
- www.fix-crowdstrike-bsod[.]com.
CrowdStrike doporučuje svým zákazníkům, aby ke kontaktu používali pouze oficiální kanály a postupovali podle technických pokynů CrowdStrike a Microsoftu. Microsoft nedávno zveřejnil aktualizovaný návod, který obsahuje automatizovanou metodu pro obnovu.
Zdroj: Neowin, Tech Community Microsoft
