Хакеры начали использовать хаос из-за CrowdStrike для распространения вредоноса Crowdstrike-hotfix.zip

После масштабного сбоя в работе организаций по всему миру 18 июля из-за проблемного обновления Falcon Sensor для Windows от компании кибербезопасности CrowdStrike киберпреступники пытаются воспользоваться ситуацией. Они распространяют вредоносный ZIP-архив с именем Crowdstrike-hotfix.zip (хеш SHA256: c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2). 

Архив содержит полезную нагрузку HijackLoader, загружающую RemCo. В CrowdStrike считают, что имена файлов и инструкции в ZIP-архиве на испанском указывают на нацеленность кампании на клиентов CrowdStrike из Латинской Америки (LATAM).

Киберпреступники также проводят фишинговые кампании против клиентов CrowdStrike. Они рассылают электронные письма, выдавая себя за службу техподдержки, называют себя сотрудниками компании во время телефонных звонков, а также выдают себя за независимых исследователей, чтобы предложить информацию по устранению сбоев. Наконец, хакеры продают сценарии для автоматизации восстановления систем. 

За считанные дни для проведения фишинговых кампаний были созданы следующие домены:

Crowdstrike.phpartners[.]org, Crowdstrike0day[.]com, Crowdstrikebluescreen[.]com, Crowdstrike-bsod[.]com, Crowdstrikeupdate[.]com, Crowdstrikebsod[.]com, www.crowdstrike0day[.]com, www.fix-crowdstrike-bsod[. ]com, crowdstrikeoutage[.]info, www.microsoftcrowdstrike[.]com, crowdstrikeodayl[.]com, crowdstrike[.]buzz, www.crowdstriketoken[.]com, www.crowdstrikefix[.]com, fix-crowdstrike-apocalypse[.]com, microsoftcrowdstrike[. ]com, Crowdstrikedoomsday[.]com, Crowdstrikedown[.]com, Whatiscrowdstrike[.]com, Crowdstrike-HelpDesk[.]com, Crowdstrikefix[.]com, Fix-Crowdstrike-BSOD[.]com, Crowdstrikedown[.]site, Crowdstuck[.]org, Crowdfalcon- immed-update[.]com,