CrowdStrike, una empresa líder en ciberseguridad, ha reportado la presencia de un actor de amenazas desconocido que está intentando aprovechar la confusión generada por la actualización del Falcon Sensor. Esta campaña altamente dirigida tiene como objetivo distribuir instaladores dudosos a clientes alemanes.
Según CrowdStrike, se detectó un intento de spear-phishing no atribuido el 24 de julio de 2024. El ataque involucra la distribución de un instalador falso de CrowdStrike Crash Reporter a través de un sitio web que simula ser una entidad alemana no identificada. Este sitio web impostor fue creado el 20 de julio, un día después de la actualización fallida que afectó a casi 9 millones de dispositivos con Windows, generando interrupciones generalizadas en todo el mundo.
Una vez que los usuarios hacen clic en el botón de descarga, el sitio web utiliza JavaScript (JS) que se hace pasar por JQuery v3.7.1 para descargar y desofuscar el instalador. Este instalador contiene la marca de CrowdStrike, localización alemana y requiere una contraseña para continuar con la instalación de malware. La página de spear-phishing presenta un enlace de descarga a un archivo ZIP que contiene un instalador malicioso de InnoSetup, con el objetivo de evadir la detección.
CrowdStrike también advierte que la campaña es altamente dirigida porque el instalador está protegido con contraseña y requiere una entrada que probablemente solo sea conocida por las entidades objetivo. Asimismo, la presencia del idioma alemán sugiere que la actividad está dirigida a clientes de CrowdStrike que hablan alemán.
Además, el actor parece estar consciente de las prácticas de seguridad operacional (OPSEC) ya que han empleado técnicas para evadir la detección forense durante esta campaña. Esto incluye el registro de un subdominio bajo el dominio it[.]com y encriptar los contenidos de los instaladores para prevenir el análisis adicional.
CrowdStrike también informa sobre una ola de ataques de phishing relacionados con la actualización de CrowdStrike. Ejemplos de esto incluyen un dominio de phishing que aloja archivos de archivo fraudulentos y un archivo ZIP que contiene un ladrón de información basado en Python. A pesar de estos desafíos, el presidente ejecutivo de CrowdStrike, George Kurtz, expresó que el 97% de los dispositivos con Windows que se vieron afectados durante la interrupción global de TI ya están operativos.
En el pasado, el jefe de seguridad de la compañía, Shawn Henry, pidió disculpas por el incidente y reafirmó el compromiso de la empresa de recuperar la confianza de sus clientes. Mientras tanto, el análisis de Bitsight sobre los patrones de tráfico exhibidos por máquinas de CrowdStrike en organizaciones a nivel mundial ha revelado datos que merecen una investigación adicional. Esto destaca la importancia de estar alerta y tomar medidas proactivas para protegerse contra posibles amenazas cibernéticas.
Vía The Hacker News
