Hackers aprovechan confusión por CrowdStrike para distribuir malware
Tras la aparición de una actualización defectuosa liberada por la firma de ciberseguridad CrowdStrike, que provocó uno de los apagones informáticos más grandes jamás registrados, los hackers han buscado aprovecharse de la confusión para distribuir malware a través de archivos que supuestamente pueden resolver la afectación.
A través de su blog, CrowdStrike ha emitido diversas alertas sobre posibles amenazas que han aparecido desde el apagón de la noche del 18 de julio, incluyendo archivos y ataques de phishing. Estos ataques buscan atacar a empresas o individuos afectados, haciéndoles creer que un archivo puede ayudarles a remediar la actualización.
La compañía de seguridad advierte que ha recibido reportes de sus clientes sobre el envío de correos electrónicos y llamadas telefónicas de suplantación de identidad haciéndose pasar por el servicio de asistencia de CrowdStrike; han sido contactados por supuestos investigadores independientes, quienes afirman tener pruebas de que el problema técnico está vinculado a un ciberataque y ofrecen ideas para remediarlo; así como la venta de scripts que supuestamente automatizan la recuperación del problema de actualización de contenidos.
La firma de ciberseguridad también publicó una lista con dominios que incluyen el nombre de CrowdStrike y buscan engañar a las víctimas haciéndoles creer que encontrarán la solución. Por ejemplo: fix-crowdstrike-bsod[.]com o crowdstrikefix[.]zip, entre otros.
El ataque más reciente está relacionado con la distribución de un documento de Word que contiene macros que descarga un ladrón no identificado ahora rastreado como Daolpu. Según CrowdStrike Intelligence, el documento se hace pasar por un manual de recuperación de Microsoft, y advierte que “la actividad es probablemente delictiva”.
Al ejecutarse, Daolpu invoca taskkill /F /IM chrome.exe para matar el proceso de Chrome. A continuación, el malware recopila credenciales como datos de inicio de sesión y cookies almacenadas en los navegadores Chrome y Firefox.
CrowdStrike Intelligence identificó también un ataque dirigido en específico para clientes de América Latina. En este caso, los atacantes distribuyen un ZIP malicioso llamado crowdstrike-hotfix.zip. El archivo ZIP contiene un archivo HijackLoader que, cuando se ejecuta, carga RemCos.
Según la compañía, dado que los nombres de los archivos y las instrucciones están en español, a la vez que el archivo fue reportado por un usuario de México, se asume que esta campaña probablemente está dirigida a clientes con sede en América Latina.
George Kurtz es llamado a testificar ante el Congreso
El Comité de Seguridad Nacional de la Cámara de Representantes de los Estados Unidos solicitó al CEO de CrowdStrike, George Kurtz, que testifique sobre el incidente ocurrido el pasado jueves, luego de que la empresa fuera la principal responsable por haber causado la caída de sistemas de cómputo en todo el mundo.
El Comité envió una carta a CrowdStrike solicitando el testimonio de Kurtz sobre el incidente, que buscaría respuestas sobre cómo se produjo la interrupción y qué medidas de mitigación se tomaron para prevenir que se vuelva a repetir. El Congreso espera que Kurtz pueda asistir antes del miércoles.
“Si bien apreciamos la respuesta de CrowdStrike y su coordinación con las partes interesadas, no podemos ignorar la magnitud de este incidente, que algunos han afirmado que es la mayor interrupción de TI de la historia”, escribió el panel del Congreso en su carta a Kurtz fechada el lunes, según cita The Washington Post.