سوء استفاده هکرها از به روزرسانی CrowdStrike برای توزیع انواع بدافزار

شرکت امنیت سایبری CrowdStrike روز جمعه، نوزدهم جولای ۲۰۲۴ با ارائه یک به روزرسانی معیوب و دارای نقص، سیستم‌های فناوری اطلاعات سراسر جهان را دچار اختلال کرد. این شرکت اکنون هشدار داده است که هکرها در حال سوء استفاده از این شرایط برای توزیع انواع بدافزارها همچون تروجان Remcos RAT، وایپر (wiper) و ابزارهای دسترسی از راه دور هستند.

به‌ روزرسانی معیوب CrowdStrike، سیستم‌های ویندوز را از کار انداخت و سازمان‌ها و سرویس‌های مختلف از جمله فرودگاه‌ها، بیمارستان‌ها، ایستگاه‌های تلویزیونی و رسانه‌های خبری مانند اسکای نیوز و ABC را فلج کرد.

مرکز ملی امنیت سایبری بریتانیا (NCSC) هشدار داد که تعداد پیام‌های فیشینگ با هدف سوء استفاده از این مشکل به وجود آمده، افزایش یافته است.

پلتفرم تجزیه و تحلیل خودکار بدافزار AnyRun نیز افزایش تلاش‌ها برای جعل هویت CrowdStrike را تایید کرده است. هکرها در تلاشند تا توسط حملات فیشینگ از موقعیت موجود، نهایت استفاده را ببرند.

زنجیره‌های حمله شامل توزیع یک فایل آرشیو ZIP به نام “crowdstrike-hotfix.zip” است که حاوی یک لودر بدافزار به نام Hijack Loader  (معروف به DOILoader یا IDAT Loader) می‌باشد. این لودر، پیلود Remcos RAT را اجرا می‌کند.

فایل ZIP همچنین شامل یک فایل متنی (“instrucciones.txt”) با دستورالعمل‌های اسپانیایی زبان است که از قربانیان می‌خواهد یک فایل اجرایی (“setup.exe”) را برای ریکاوری سیستم اجرا کنند.

با توجه به اسپانیایی بودن نام فایل‌ها و دستورالعمل‌های آرشیو ZIP به نظر می‌رسد که این دسته حملات احتمالاً مشتریان مستقر در آمریکای لاتین این شرکت را مورد هدف قرار می‌دهد.