A CrowdStrike está alertando que um manual de recuperação falso para reparar dispositivos Windows está instalando um novo malware de roubo de informações chamado Daolpu.
Desde sexta-feira, quando a atualização problemática do CrowdStrike Falcon causou interrupções de TI globais, atores de ameaças começaram rapidamente a se aproveitar das notícias para entregar malware através de correções falsas.
Uma nova campanha realizada por meio de e-mails de phishing finge ser instruções para usar uma nova Ferramenta de Recuperação que corrige dispositivos Windows afetados pelos recentes crashes do CrowdStrike Falcon.
Uma vez ativo no sistema, o stealer coleta credenciais de contas, histórico de navegação e cookies de autenticação armazenados no Chrome, Edge, Firefox e nos navegadores web Cốc Cốc.
Acredita-se que o stealer Daolpu seja disseminado via e-mails de phishing que trazem um anexo de documento disfarçado como um manual de recuperação da Microsoft, nomeado 'New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows.docm'.
Este documento é uma cópia de um boletim de suporte da Microsoft que fornece instruções sobre como usar uma nova Ferramenta de Recuperação da Microsoft que automatiza a exclusão do driver problemático do CrowdStrike dos dispositivos Windows.
No entanto, esse documento contém macros que, quando ativadas, baixam um arquivo DDL codificado em base64 de um recurso externo e o soltam em '%TMP%mscorsvc.dll.'
Em seguida, as macros usam certutil do Windows para decodificar o DLL codificado em base64, que é executado para lançar o stealer Daolpu no dispositivo comprometido.
O Daolpu encerra todos os processos do Chrome em execução e, em seguida, tenta coletar dados de login e cookies salvos no Chrome, Edge, Firefox e outros navegadores baseados em Chromium.
Análises feitas mostram que ele também tem como alvo o Cốc Cốcm, um navegador web usado principalmente no Vietnã, possivelmente indicando a origem do malware.
Os dados roubados são temporariamente salvos em '%TMP%\result.txt', e depois apagados após serem enviados de volta aos atacantes em seu servidor C2 usando a URL 'http[:]//172.104.160[.]126:5000/Uploadss'.
O aviso da CrowdStrike sobre o novo malware inclui uma regra YARA para detectar artefatos do ataque e lista os indicadores de comprometimento associados.
A CrowdStrike insta seus clientes a seguir apenas conselhos encontrados no site da empresa ou em outras fontes confiáveis após confirmar a autenticidade de suas comunicações.
Infelizmente, o Daolpu é apenas o último exemplo de um esforço em larga escala por parte de cibercriminosos para tirar vantagem da situação caótica causada pela atualização falha do Falcon da CrowdStrike na semana passada, causando o crash de aproximadamente 8,5 milhões de sistemas Windows e exigindo esforço de restauração manual.
Atividades maliciosas previamente reportadas aproveitando-se das interrupções do Falcon da CrowdStrike incluem wipers de dados disseminados pelo grupo hacktivista pró-Irã 'Handala' e o HijackLoader distribuindo o RAT Remcos disfarçado como um hotfix do CrowdStrike.
Em geral, houve um aumento notável nas tentativas de phishing se passando por representantes da CrowdStrike para distribuir malware e um esforço massivo para registrar novos domínios para conduzir essas campanhas maliciosas.
Para o conselho oficial mais recente sobre remediação da CrowdStrike, monitore esta página da web, que é atualizada com novas recomendações oficiais da empresa.
A Microsoft também lançou uma ferramenta de recuperação personalizada para sistemas Windows impactados para ajudar a acelerar a recuperação.
As consequências da falha na atualização do Falcon da CrowdStrike não devem se resolver tão cedo, e as tentativas de exploração por parte de cibercriminosos provavelmente vão persistir e continuar em um ritmo alto por um tempo.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...