A empresa de cibersegurança CrowdStrike, que tem recebido críticas por causar transtornos globais em TI ao liberar uma atualização defeituosa para dispositivos Windows, agora alerta que atores de ameaças estão explorando a situação para distribuir Remcos RAT aos seus clientes na América Latina, sob o pretexto de fornecer um hotfix.
As cadeias de ataque envolvem a distribuição de um arquivo ZIP nomeado “crowdstrike-hotfix.zip”, que contém um malware loader chamado Hijack Loader (também conhecido como DOILoader ou IDAT Loader), que, por sua vez, lança o payload do Remcos RAT.
Especificamente, o arquivo do arquivo também inclui um arquivo de texto (“instrucciones.txt”) com instruções em espanhol que insta os alvos a executar um arquivo executável (“setup.exe”) para se recuperar do problema.
“Notavelmente, nomes de arquivos em espanhol e instruções dentro do arquivo ZIP indicam que esta campanha provavelmente está mirando clientes da CrowdStrike baseados na América Latina (LATAM)”, disse a empresa, atribuindo a campanha a um grupo suspeito de e-crime.
Na sexta-feira(19), a CrowdStrike reconheceu que uma atualização de configuração de sensor rotineira, enviada para sua plataforma Falcon para dispositivos Windows em 19 de julho às 04:09 UTC, desencadeou inadvertidamente um erro de lógica que resultou em uma Tela Azul da Morte (BSoD), tornando numerosos sistemas inoperantes e provocando um caos nas empresas.
O evento impactou clientes que estavam executando o sensor Falcon para a versão Windows 7.11 e superior, que estavam online entre 04:09 e 05:27 da manhã UTC.
Atores maliciosos não perderam tempo em capitalizar sobre o caos criado pelo evento para configurar domínios de typosquatting que se passavam pela CrowdStrike e anunciar serviços às empresas afetadas pelo problema em troca de um pagamento em criptomoeda.
Clientes impactados são recomendados a assegurar que estão se comunicando com representantes da CrowdStrike através de canais oficiais e seguir as orientações técnicas que as equipes de suporte da CrowdStrike forneceram.
A Microsoft, que tem trabalhado com a CrowdStrike em esforços de remediação, disse que o colapso digital incapacitou 8,5 milhões de dispositivos Windows globalmente, ou menos de um por cento de todas as máquinas Windows.
O desenvolvimento – que trouxe à tona novamente os riscos associados ao depender de cadeias de suprimentos monoculturais – marca a primeira vez que o verdadeiro impacto e escala do que é provavelmente o evento cibernético mais disruptivo da história foi oficialmente tornado público.
Dispositivos Mac e Linux não foram afetados pelo apagão.
“Este incidente demonstra a natureza interconectada do nosso amplo ecossistema — provedores de nuvem globais, plataformas de software, fornecedores de segurança e outros fornecedores de software, e clientes”, disse o gigante da tecnologia.
Também é um lembrete de quão importante é para todos nós, em todo o ecossistema de tecnologia, priorizar a operação com implantação segura e recuperação de desastres usando os mecanismos que existem.
