CrowdStrike alerta sobre novo golpe de phishing

CrowdStrike alerta sobre novo golpe de phishing direcionado a clientes alemães

 

A CrowdStrike está alertando sobre um agente de ameaça desconhecido tentando capitalizar o fiasco da atualização do Falcon Sensor para distribuir instaladores duvidosos visando clientes alemães como parte de uma campanha altamente direcionada.

 

A empresa de segurança cibernética disse ter identificado o que descreveu como uma tentativa de spear-phishing não atribuída em 24 de julho de 2024, distribuindo um instalador não autêntico do CrowdStrike Crash Reporter por meio de um site que se passava por uma entidade alemã não identificada.

 

Dizem que o site impostor foi criado em 20 de julho, um dia após a atualização malfeita ter travado quase 9 milhões de dispositivos Windows, causando grandes interrupções de TI em todo o mundo.

 

“Depois que o usuário clica no botão Download, o site utiliza o JavaScript (JS) que se disfarça como JQuery v3.7.1 para baixar e desofuscar o instalador”, informou a equipe de Operações Anti-Adversário da CrowdStrike .

 

“O instalador contém a marca CrowdStrike, localização em alemão e uma senha é necessária para continuar instalando o malware.”

 

Especificamente, a página de spear-phishing apresentava um link de download para um arquivo ZIP contendo um instalador malicioso do InnoSetup, com o código malicioso servindo o executável injetado em um arquivo JavaScript chamado “jquery-3.7.1.min.js” em um esforço aparente para evitar a detecção.

 

Usuários que acabam iniciando o instalador falso são então solicitados a entrar em um “Backend-Server” para prosseguir. A CrowdStrike disse que não conseguiu recuperar o payload final implantado por meio do instalador.

 

A campanha é avaliada como altamente direcionada devido ao fato de que o instalador é protegido por senha e requer entrada que provavelmente só é conhecida pelas entidades direcionadas. Além disso, a presença do idioma alemão sugere que a atividade é voltada para clientes CrowdStrike de língua alemã.

 

“O agente da ameaça parece estar muito ciente das práticas de segurança operacional (OPSEC), pois se concentrou em técnicas antiforenses durante esta campanha”, relatou a CrowdStrike.

 

“Por exemplo, o ator registrou um subdomínio sob o domínio it[.]com, impedindo a análise histórica dos detalhes do registro do domínio. Além disso, criptografar o conteúdo do instalador e impedir que outras atividades ocorram sem uma senha impede análises e atribuições posteriores.”

 

Greve de multidão

 

O desenvolvimento ocorre em meio a uma onda de ataques de phishing aproveitando o problema de atualização do CrowdStrike para propagar malware stealer e wiper.

 

  • Um domínio de phishing crowdstrike-office365[.]com que hospeda arquivos de arquivamento desonestos contendo um carregador do Microsoft Installer (MSI) que, em última análise, executa um ladrão de informações de commodities chamado Lumma .

 

  • Um arquivo ZIP (“CrowdStrike Falcon.zip”) que contém um ladrão de informações baseado em Python rastreado como Connecio que coleta informações do sistema, endereços IP externos e dados de vários navegadores da web e os exfiltra para contas SMTP listadas em um URL de dead-drop do Pastebin.

 

  • Uma campanha de phishing por e-mail orquestrada pela Handala Hacking Team visando entidades israelenses que engana os destinatários para que baixem uma “correção de interrupção”, que inicia um instalador responsável por descompactar e executar um script AutoIt para iniciar um limpador de dados e exfiltrar informações do sistema por meio da API do Telegram.

 

A empresa de infraestrutura e segurança da Web Akamai disse que descobriu nada menos que 180 novos domínios de typosquat falsificados que pretendiam ajudar a lidar com o incidente, seja por meio de suporte técnico, soluções rápidas ou suporte jurídico, em uma tentativa de introduzir malware ou roubar informações confidenciais.

 

Na quinta-feira, o CEO da CrowdStrike, George Kurtz, disse que 97% dos dispositivos Windows que ficaram offline durante a paralisação global de TI agora estão operacionais.

 

“Na CrowdStrike, nossa missão é ganhar sua confiança protegendo suas operações. Lamento profundamente a interrupção qu​e causou embaraços e peço desculpas pessoalmente a todos os afetados”, pronunciou Kurtz . “Embora eu não possa prometer perfeição, posso prometer uma resposta focada, eficaz e com senso de urgência.”

 

Anteriormente, o diretor de segurança da empresa, Shawn Henry, pediu desculpas por não conseguir “proteger pessoas boas de coisas ruins” e por “decepcionar exatamente as pessoas que nos comprometemos a proteger”.

 

“A confiança que construímos em gotas ao longo dos anos foi perdida em baldes em poucas horas, e foi um soco no estômago”, Henry reconheceu . “Estamos comprometidos em reconquistar sua confiança, fornecendo a proteção necessária para interromper os adversários que o alvejam. Apesar desse revés, a missão perdura.”

 

Enquanto isso, a análise da Bitsight dos padrões de tráfego exibidos pelas máquinas CrowdStrike em organizações no mundo todo revelou dois pontos de dados “interessantes” que, segundo ela, justificam uma investigação adicional.

 

Enquanto isso, a análise da Bitsight dos padrões de tráfego exibidos pelas máquinas CrowdStrike em organizações no mundo todo revelou dois pontos de dados “interessantes” que, segundo ela, justificam uma investigação adicional.

 

“Primeiramente, em 16 de julho, por volta das 22:00, houve um pico enorme de tráfego, seguido por uma queda clara e significativa no tráfego de saída de organizações para o CrowdStrike”, conforme relato do pesquisador de segurança Pedro Umbelino . “Segundo, houve uma queda significativa, entre 15% e 20%, no número de IPs únicos e organizações conectadas aos servidores CrowdStrike Falcon, após o amanhecer do dia 19.”

 

“Embora não possamos inferir a que se pode atribuir a causa raiz da mudança nos padrões de tráfego no dia 16, isso justifica a questão fundamental de ‘Existe alguma correlação entre as observações no dia 16 e a interrupção no dia 19?'”

 

Update

 

Embora o impacto total da interrupção de TI ainda precise ser contabilizado, a empresa de serviços de seguros em nuvem Parametrix Solutions estima que o evento impactou quase um quarto das empresas da Fortune 500, resultando em uma perda financeira direta de US$ 5,4 bilhões (excluindo a Microsoft), incluindo US$ 1,94 bilhão em perdas para a saúde, US$ 1,15 bilhão para o setor bancário e US$ 0,86 bilhão para o setor de companhias aéreas.

 

John Cable, vice-presidente de gerenciamento de programas de manutenção e entrega do Windows da Microsoft, disse que o incidente “ressalta a necessidade de resiliência de missão crítica dentro de cada organização”.

 

“Essas melhorias devem andar de mãos dadas com melhorias contínuas em segurança e estar em estreita cooperação com nossos muitos parceiros, que também se preocupam profundamente com a segurança do ecossistema do Windows”, informou Cable , pedindo que as empresas tenham um plano de resposta a incidentes graves (MIRP) em vigor, façam backups de dados periodicamente, utilizem anéis de implantação e habilitem linhas de base de segurança do Windows.

 

Com o software de detecção e resposta de endpoint (EDR) exigindo acesso em nível de kernel para detectar ameaças no Windows, o evento disruptivo parece ter tido também o efeito desejado de fazer a Microsoft repensar toda a abordagem.

 

Redmond disse que recursos alternativos como enclaves de segurança baseados em virtualização ( VBS ), que foram introduzidos em maio, poderiam ser usados ​​por desenvolvedores terceirizados para criar um “ambiente de computação isolado que não exija que os drivers do modo kernel sejam resistentes a violações”. O Azure Attestation , outra solução de segurança, permite a verificação remota da “confiabilidade de uma plataforma e da integridade dos binários em execução dentro dela”.

 

A Microsoft descreveu ainda que o problema surgiu devido a um “erro de segurança de memória de leitura fora dos limites no driver CSagent.sys desenvolvido pela CrowdStrike”, e que esses drivers de kernel são aproveitados para resistência a violações e melhorias de desempenho, sem mencionar para obter visibilidade de todo o sistema em eventos relacionados à segurança.

 

“O Windows fornece várias abordagens de proteção de modo de usuário para antiadulteração, como Enclaves de segurança baseados em virtualização (VBS) e Processos Protegidos que os fornecedores podem usar para proteger seus principais processos de segurança”, descreveu David Weston, vice-presidente de segurança corporativa e de sistemas operacionais da Microsoft .

 

“O Windows também fornece eventos ETW e interfaces de modo de usuário como a Antimalware Scan Interface para visibilidade de eventos. Esses mecanismos robustos podem ser usados ​​para reduzir a quantidade de código kernel necessária para criar uma solução de segurança, que equilibra segurança e robustez.”

 

(A história foi atualizada após a publicação para incluir a análise da Microsoft sobre os relatórios de falhas do Windows decorrentes do erro de programação CrowdStrike.)

 

Este artigo é uma tradução de: https://thehackernews.com/2024/07/crowdstrike-warns-of-new-phishing-scam.html (Autor: Mohit Kumar)