El pasado viernes, la compañía de ciberseguridad CrowdStrike lanzó una actualización de contenido para su sensor Falcon, destinada a sistemas operativos Windows. Desafortunadamente, esta actualización contenía un error lógico que producía la aparición de la temida 'pantalla azul de la muerte' en los equipos en que se instalaba, dejando a numerosos sistemas inoperables.
Pues bien, en medio de la tormenta generada por la metedura de pata de CrowdStrike, diversos cibercriminales han aprovechado la oportunidad para lanzar ataques dirigidos contra empresas hispanohablantes, mientras buscan explotar la urgencia de las empresas por solucionar el problema.
Lo han hecho distribuyendo un archivo ZIP malicioso denominado "crowdstrike-hotfix.zip". Este archivo, cargado por un remitente radicado en México, contenía instrucciones en español, indicando claramente que la campaña estaba dirigida a clientes de CrowdStrike en América Latina.
Así funciona el ataque
El primer paso del proceso de infección consistía en seguir dichas instrucciones, en las que se pedía al usuario que ejecutara 'Setup.exe', uno de los archivos contenidos en el ZIP (junto a 'instrucciones.txt'), para iniciar la instalación del parche fraudulento.
En realidad, dicho EXE no ejecutaba sino HijackLoader, un cargador de malware; es decir, un software sin efectos negativos directos, cuyo única misión radica en descargar e instalar el malware propiamente dicho, en este caso Remcos RAT, una herramienta de acceso remoto, que deja nuestro equipo en manos de las instrucciones enviadas desde un servidor en manos de los cibercriminales.
Además, los expertos han identificado varios dominios falsos que buscaban confundirse (mediante técnicas de 'typosquatting') con el legítimo dominio web de CrowdStrike precisamente con el objetivo de distribuir estos archivos maliciosos.
Otro ataque similar
Paralelamente, el grupo hacktivista proiraní Handala ha lanzado una campaña similar, dirigido en este caso contra empresas israelíes, que usan igualmente el pretexto de entregar una actualización de CrowdStrike. Según la compañía de ciberseguridad AnyRun, este ataque "diezma el sistema sobrescribiendo archivos con cero bytes".
En este caso, sus responsables se hicieron pasar por CrowdStrike enviando correos electrónicos desde el dominio fraudulento 'crowdstrike.com.vc'. Por otro lado, varía con respecto a la campaña anterior en que lo que el usuario se descarga es un fichero PDF con enlaces al malware.
Recomendaciones de la compañía
CrowdStrike recomienda encarecidamente a todas las organizaciones que:
- Aseguren que las comunicaciones con los representantes de CrowdStrike se realicen a través de canales oficiales.
- Sigan las guías técnicas proporcionadas por los equipos de soporte de CrowdStrike.
- Permanezcan vigilantes ante posibles correos electrónicos de phishing y sitios web falsos.
Imagen | Marcos Merino mediante IA
Ver 0 comentarios