Η CrowdStrike προειδοποιεί για hackers που προσπαθούν να εκμεταλλευτούν το φιάσκο με την ελαττωματική ενημέρωση του Falcon Sensor, για να διανείμουν κακόβουλα προγράμματα μέσω phishing sites που στοχεύουν Γερμανούς πελάτες.
Η εταιρεία κυβερνοασφάλειας είπε ότι εντόπισε μια στοχευμένη spear – phishing καμπάνια στις 24 Ιουλίου 2024, που διανέμει ένα μη αυθεντικό πρόγραμμα εγκατάστασης CrowdStrike Crash Reporter, μέσω ιστότοπου που υποδύεται μια γερμανική οντότητα.
Ο phishing ιστότοπος δημιουργήθηκε στις 20 Ιουλίου, μια μέρα μετά την ενημέρωση που επηρέασε τη λειτουργία σχεδόν 9 εκατομμυρίων συσκευών Windows.
Δείτε επίσης: Η ODPA ζητά αυξημένη ασφάλεια μετά τις επιθέσεις phishing στο Guernsey
“Αν ο χρήστης κάνει κλικ στο κουμπί Λήψη, ο ιστότοπος αξιοποιεί JavaScript (JS) που μεταμφιέζεται σε JQuery v3.7.1 για να κατεβάσει και να κάνει deobfuscate το πρόγραμμα εγκατάστασης“, δήλωσε η ομάδα Counter Adversary Operations της CrowdStrike.
“Το πρόγραμμα εγκατάστασης περιέχει την επωνυμία της CrowdStrike, είναι προσαρμοσμένο στα γερμανικά και απαιτείται κωδικός πρόσβασης για να συνεχιστεί η εγκατάσταση του κακόβουλου λογισμικού“.
Η σελίδα phishing παρουσίαζε έναν σύνδεσμο λήψης που οδηγούσε σε ZIP archive file, το οποίο περιέχει ένα κακόβουλο πρόγραμμα εγκατάστασης InnoSetup.
Οι χρήστες που καταλήγουν να εκκινούν το ψεύτικο πρόγραμμα εγκατάστασης, καλούνται στη συνέχεια να εισαγάγουν έναν “Backend-Server” για να προχωρήσουν περαιτέρω. Η CrowdStrike είπε ότι δεν ήταν σε θέση να ανακτήσει το τελικό payload που αναπτύχθηκε μέσω του προγράμματος εγκατάστασης.
Δείτε επίσης: Κατάχρηση Google Cloud για phishing επιθέσεις
Η phishing καμπάνια CrowdStrike εκτιμάται ότι είναι ιδιαίτερα στοχευμένη δεδομένου ότι το πρόγραμμα εγκατάστασης προστατεύεται με κωδικό πρόσβασης και απαιτεί στοιχεία που είναι πιθανό να είναι γνωστά μόνο στις στοχευμένες οντότητες. Επιπλέον, όπως προείπαμε, στοχεύει αποκλειστικά γερμανόφωνους πελάτες CrowdStrike.
Η CrowdStrike παρατήρησε ότι η καμπάνια είναι έτσι σχεδιασμένη ώστε να αποφεύγει την ανίχνευση.
Η ανάπτυξη έρχεται εν μέσω ενός κύματος επιθέσεων ηλεκτρονικού ψαρέματος που εκμεταλλεύονται την ελαττωματική ενημέρωση της CrowdStrike για τη διάδοση κακόβουλου λογισμικού.
Το Σάββατο, ο ερευνητής κυβερνοασφάλειας g0njxa ανέφερε για πρώτη φορά μια καμπάνια διανομής malware που στόχευε πελάτες της ισπανικής τράπεζας BBVA, προσφέροντας μια ψεύτικη ενημέρωση για την επιδιόρθωση των προβλημάτων που προκάλεσε η προηγούμενη ενημέρωση της CrowdStrike. Στην πραγματικότητα, εγκαθιστούσε το Remcos RAT στις συσκευές των θυμάτων.
Δείτε επίσης: PINEAPPLE και FLUXROOT εκμεταλλεύονται το Google Cloud για επιθέσεις credential phishing
Η ψεύτικη επείγουσα επιδιόρθωση προωθήθηκε μέσω ενός ιστότοπου phishing, του portalintranetgrupobbva[.]com, ο οποίος προσποιήθηκε ότι ήταν ένα BBVA Intranet portal. Στο κακόβουλο αρχείο υπήρχαν οδηγίες που ενημέρωναν τους υπαλλήλους και τους συνεργάτες για την εγκατάσταση της ενημέρωσης. Υποτίθεται ότι έτσι θα απέφευγαν σφάλματα κατά τη σύνδεση στο εσωτερικό δίκτυο της εταιρείας.
Η AnyRun είπε ότι η ψεύτικη επείγουσα επιδιόρθωση παρέδιδε το HijackLoader, το οποίο στη συνέχεια εγκαθιστούσε το εργαλείο απομακρυσμένης πρόσβασης Remcos στο μολυσμένο σύστημα.
Πηγή: thehackernews.com
