Η CrowdStrike προειδοποιεί ότι ένα ψεύτικο εγχειρίδιο ανάκτησης για την επισκευή συσκευών Windows εγκαθιστά ένα νέο infostealer που ονομάζεται Daolpu.
Δείτε επίσης: Ο CEO της CrowdStrike καλείται να καταθέσει για τη διακοπή
Από την Παρασκευή, όταν η ενημερωμένη έκδοση του CrowdStrike Falcon προκάλεσε παγκόσμιες διακοπές IT, οι φορείς απειλών άρχισαν αμέσως να αξιοποιούν το περιστατικό για να ωθήσουν κακόβουλο λογισμικό μέσω ψεύτικων επιδιορθώσεων.
Μια νέα καμπάνια που διεξάγεται μέσω μηνυμάτων ηλεκτρονικού phishing, προσποιείται ότι παρέχει οδηγίες σχετικά με τη χρήση ενός νέου Εργαλείου ανάκτησης που διορθώνει συσκευές Windows που επηρεάστηκαν από τα πρόσφατα σφάλματα του CrowdStrike Falcon.
Μόλις ενεργοποιηθεί στο σύστημα, το infostealer Daolpu συλλέγει τα διαπιστευτήρια λογαριασμού, το ιστορικό του προγράμματος περιήγησης και τα cookies ελέγχου ταυτότητας που είναι αποθηκευμένα στα προγράμματα περιήγησης Chrome, Edge, Firefox και Cốc Cốc.
Το infostealer Daolpu πιστεύεται ότι διαδίδεται μέσω phishing emails, που φέρουν ένα συνημμένο έγγραφο που μεταμφιέζεται ως εγχειρίδιο ανάκτησης της Microsoft για την προβληματική έκδοση CrowdStrike, με το όνομα “New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows. docm.‘
Αυτό το έγγραφο είναι ένα αντίγραφο ενός ενημερωτικού δελτίου υποστήριξης της Microsoft που παρέχει οδηγίες σχετικά με τη χρήση ενός νέου εργαλείου αποκατάστασης, που αυτοματοποιεί τη διαγραφή του προβληματικού προγράμματος driver CrowdStrike από συσκευές Windows.
Δείτε ακόμα: CrowdStrike: Ψεύτικες ενημερώσεις διανέμουν malware
Ωστόσο, αυτό το έγγραφο περιέχει μακροεντολές που, όταν είναι ενεργοποιημένες, κάνουν λήψη ενός αρχείου DDL με κωδικοποίηση base64, από έναν εξωτερικό πόρο και το ρίχνουν στο “% TMP%mscorsvc.dll“.
Στη συνέχεια, οι μακροεντολές χρησιμοποιούν το Windows certutil για να αποκωδικοποιήσουν το DLL, το οποίο εκτελείται για την εκκίνηση του stealer Daolpu στη συσκευή που έχει παραβιαστεί.
Το Daolpu τερματίζει όλες τις εκτελούμενες διεργασίες του Chrome και στη συνέχεια, επιχειρεί να συλλέξει δεδομένα σύνδεσης και cookies που είναι αποθηκευμένα σε Chrome, Edge, Firefox και άλλα προγράμματα περιήγησης Chromium.
Τα κλεμμένα δεδομένα αποθηκεύονται προσωρινά στο ‘%TMP%\result.txt‘ και στη συνέχεια, σβήνονται αφού σταλούν πίσω στους εισβολείς στον διακομιστή C2, χρησιμοποιώντας τη διεύθυνση URL ‘http[:]//172.104.160[.]126:5000/Uploadss‘.
Η CrowdStrike προτρέπει τους πελάτες της να ακολουθούν τις συμβουλές που βρίσκονται στον ιστότοπο της εταιρείας ή σε άλλες αξιόπιστες πηγές, μόνο αφού επιβεβαιώσουν την αυθεντικότητα των επικοινωνιών τους.
Δείτε επίσης: Microsoft: Εργαλείο επιδιόρθωσης για την κατάργηση του CrowdStrike driver
Το Infostealer, όπως το Daolpu, που ωθείται μέσω του ψεύτικου εγχειριδίου επιδιόρθωσης του CrowdStrike, είναι ένα είδος malware που έχει σχεδιαστεί για να εξάγει ευαίσθητα δεδομένα από το σύστημα ενός θύματος εν αγνοία του. Συνήθως στοχεύοντας προσωπικές πληροφορίες, όπως κωδικούς πρόσβασης, τραπεζικά στοιχεία και αριθμούς πιστωτικών καρτών, αυτά τα κακόβουλα προγράμματα μπορούν να λειτουργούν κρυφά, χρησιμοποιώντας συχνά keyloggers ή ανιχνευτές URL για τη λήψη δεδομένων κατά την εισαγωγή τους. Μόλις συγκεντρωθούν οι πληροφορίες, ενδέχεται να μεταδοθούν σε έναν απομακρυσμένο διακομιστή που ελέγχεται από εγκληματίες του κυβερνοχώρου, οι οποίοι μπορούν στη συνέχεια να τις εκμεταλλευτούν για διάφορους παράνομους σκοπούς, συμπεριλαμβανομένης της κλοπής ταυτότητας και της οικονομικής απάτης. Οι χρήστες μπορούν να προστατευτούν χρησιμοποιώντας ισχυρά μέτρα ασφαλείας, όπως λογισμικό προστασίας από ιούς και τακτικές ενημερώσεις συστήματος, παράλληλα με ασφαλείς συνήθειες περιήγησης.
Πηγή: bleepingcomputer
