CrowdStrike avertizează că un manual fals de reparații pentru dispozitivele Windows instalează un nou malware de furt de informații numit Daolpu.
De vineri, când actualizarea defectuoasă a CrowdStrike Falcon a cauzat întreruperi globale ale IT-ului, actorii de amenințare au început rapid să profite de știri pentru a livra malware prin soluții false.
O nouă campanie desfășurată prin e-mailuri de phishing pretinde că sunt instrucțiuni de utilizare a unui nou instrument de recuperare care repară dispozitivele Windows afectate de recentele căderi ale CrowdStrike Falcon.
Una activ pe sistem, furtul colectează date de autentificare, istoricul browserului și cookie-urile de autentificare stocate în Chrome, Edge, Firefox și browserele web Cốc Cốc.
Stealerul Daolpu se presupune că se răspândește prin e-mailuri de phishing care transportă un atașament de document mascat ca un manual de recuperare Microsoft, numit ‘New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows.docm.’
Acest document este o copie a unui buletin de suport Microsoft care oferă instrucțiuni privind utilizarea unui nou Instrument de Recuperare Microsoft care automatizează ștergerea driverului problemat al CrowdStrike din dispozitivele Windows.
Însă acest document conține macrocomenzi care, atunci când sunt activate, descarcă un fișier DDL codificat base64 dintr-o resursă externă și îl plasează în ‘% TMP%mscorsvc.dll.’
Apoi, macrocomenzile folosesc certutil Windows pentru a decoda DDL-ul codificat base64, care este executat pentru a lansa stealerul Daolpu pe dispozitivul compromis.
Daolpu întrerupe toate procesele Chrome în execuție și apoi încearcă să colecteze datele de conectare și cookie-urile salvate pe Chrome, Edge, Firefox și alte browsere Chromium.
Analiza de către BleepingComputer arată că vizează și Cốc Cốcm, un browser web utilizat în principal în Vietnam, indicând posibil originea malware-ului.
Datele furate sunt temporar salvate în ‘%TMP%
esult.txt,’ și apoi șterse după ce sunt trimise înapoi la atacatori pe serverul lor C2 folosind URL-ul ‘http[:]//172.104.160[.]126:5000/Uploadss’.
Avertizarea CrowdStrike despre noul malware include o regulă YARA pentru detectarea artefactelor atacului și listează indicatorii de compromis asociati.
CrowdStrike își îndeamnă clienții să urmeze doar sfaturile găsite pe site-ul companiei sau alte surse de încredere după confirmarea autenticității comunicărilor lor.
În mod regretabil, Daolpu este doar cel mai recent exemplu al unui efort la scară largă al infractorilor cibernetici de a profita de situația haotică cauzată de actualizarea Falcon a CrowdStrike, care a avut loc săptămâna trecută, cauzând aproximativ 8,5 milioane de sisteme Windows să se prăbușească și necesitând efort de restaurare manuală.
Activitatea malitioasă raportată anterior care profită de căderile CrowdStrike Falcon include ștergătoare de date răspândite de grupul de hacktiviști pro-iranieni ‘Handala’ și HijackLoader care lasă să cadă Remcos RAT deghizat ca o corecție de la CrowdStrike.
În general, a existat o creștere semnificativă a încercărilor de phishing care impersonau reprezentanți CrowdStrike pentru a distribui malware și un efort masiv de a înregistra noi domenii pentru a desfășura aceste campanii malitioase.
Pentru cele mai recente sfaturi oficiale de remediere de la CrowdStrike, monitorizați această pagină web, care este actualizată cu noi recomandări oficiale de la companie.
De asemenea, Microsoft a lansat un instrument de recuperare personalizat pentru sistemele Windows afectate pentru a ajuta la accelerarea recuperării.
Consecințele actualizării defectuoase a Falcon de la CrowdStrike nu sunt de așteptat să se clarifice curând, iar încercările de exploatare ale infractorilor cibernetici probabil să persiste și să continue la un ritm ridicat pentru o perioadă.
Jurnalele malware-ului de furt de informații sunt folosite pentru a identifica membrii site-ului de abuz asupra copiilor
Un nou actor de amenințare Unfurling Hemlock inundă sistemele cu malware
Erorile false ale Google Chrome te înșeală să rulezi scripturi PowerShell malitioase
Microsoft lansează un instrument de reparații Windows pentru a elimina driverul CrowdStrike
Banda Revolver Rabbit înregistrează 500.000 de domenii pentru campanii de malware
Leave a Reply