Alig telt el pár nap, amióta a CrowdStrike egyik termékének hibás hivatalos frissítése térdre kényszerített több mint 8,5 millió windows rendszert. A hibás frissítést telepítő számítógépek képtelenek voltak bootolni, és a hiba által okozott kár világszinten érezhető volt. Repülőgépek voltak képtelenek az informatikai krízis miatt leszállni, tv csatornák váltak sugárzásképtelenné, sőt, néhány országban még a segélyhívó központok sem üzemeltek. A hibát azóta javították, éppen ezt használják ki a scammerek, akik a CrowdStrike csapat tagjainak adják ki magukat.
Július 21-én a CrowdStrike kijelentette, hogy „aktívan támogatja vásárlóit” a hiba okozta kár elhárításában. Ezúttal arra utasított mindenkit, hogy legyenek nagyon figyelmesek, és csak a CrowdStrike hivatalos felületein kapott tanácsokat kövessék, ugyanis több csapatnyi csaló különféle típusú adathalász kampányt futtat.
Az egyik ilyen kampányt a g0njxa nevű kiberbiztonsági kutató jelentette szombaton. A célja az volt, hogy a BBVA bank ügyfelei gépére hamis CrowdStrike Hotfixként Remcos RAT-et telepítsen. A hamis frissítést egy adathalász oldalon, a portalintranetgrupobbva[.]com-on népszerűsítették, ami egy BBVA Intranet portálnak adta ki magát. A rosszindulatú archívumban található utasítások kötelezőnek nyilvánították ki a „hotfix” telepítését. “Kötelező frissítés a vállalat belső hálózatához való csatlakozási és szinkronizálási hibák elkerülése érdekében” – olvasható a spanyol nyelvű ‘instrucciones.txt’ fájlban.
Egy másik kampányt az AnyRun jelentett be. Ebben az esetben a támadók adatmegsemmisítő programot terjesztenek, ami CrowdStrike frissítésnek adja ki magát. A támadást a Handala hacktivista csoport magára vállalta, és első lépésként a crowdstrike[.]com[.]vc domainről küldtek adathalász e-maileket az áldozatoknak. Az e-mail káros linket, és utasítást tartalmazott arról, hogyan kell letölteni és telepíteni a kártékony szoftvert. A linkről egy ZIP fájlt lehetett letölteni, ami a „Crowdstrike.exe”-t tartalmazta. Miután a hamis CrowdStrike frissítés futtatásra kerül, az adatmegsemmisítő program a %Temp% mappa alá kerül kibontásra, és elindul, megsemmisítve az eszközön tárolt adatokat.
Bár kevés a magyar érintett, mégis mindenkit óvatosságra intünk! Az ilyen krízishelyzetek tökéletes melegágyai a csalásoknak, ezért mindenkinek javasoljuk, hogy csak a CrowdStrike hivatalos platformjain közzé tett megoldásokat alkalmazza!
