La empresa de ciberseguridad CrowdStrike, que enfrenta críticas por causar interrupciones de TI en todo el mundo al lanzar una actualización defectuosa en dispositivos Windows, ahora advierte que los malos actores están explotando la situación para distribuir Remcos RAT a sus clientes en América Latina con el pretexto de proporcionar una solución. .
Las cadenas de ataques implican la distribución de un archivo ZIP llamado «crowdstrike-hotfix.zip”, que contiene un cargador de malware llamado Hijack Loader (también conocido como DOILoader o IDAT Loader) que, a su vez, lanza la carga útil Remcos RAT.
Específicamente, el archivo también incluye un archivo de texto (“instrucciones.txt”) que contiene instrucciones en español que solicitan a los objetivos que ejecuten un archivo ejecutable (“setup.exe”) para resolver el problema.
«Cabe señalar que los nombres de los archivos y las instrucciones en español en el archivo ZIP indican que esta campaña probablemente esté dirigida a clientes de CrowdStrike con sede en América Latina (LATAM)», dijo la compañía. dichoatribuyendo la campaña a un grupo sospechoso de delitos cibernéticos.
El viernes, CrowdStrike reconoció que una actualización rutinaria de la configuración del sensor enviada a su plataforma Falcon para dispositivos Windows el 19 de julio a las 04:09 UTC desencadenó inadvertidamente un error lógico que resultó en una pantalla azul de la muerte (BSoD), lo que dejó muchos sistemas inutilizables. y enviando a las empresas a una espiral descendente.
El evento afectó a los clientes que ejecutaban Falcon Sensor para Windows versión 7.11 y superior, que estaban en línea entre las 04:09 y las 05:27 UTC.
Los actores maliciosos no perdieron el tiempo aprovechando el caos creado por el evento para crear dominios tipográficos disfrazados de CrowdStrike y promover servicios a las empresas afectadas por el problema a cambio de pagos en cripto-efectivo.
Se recomienda a los clientes afectados que «se aseguren de comunicarse con los representantes de CrowdStrike a través de canales oficiales y cumplan con la orientación técnica proporcionada por los equipos de soporte de CrowdStrike».
