Manual falso da CrowdStrike distribui malware
24 de Julho de 2024

A CrowdStrike está alertando que um manual de recuperação falso para reparar dispositivos Windows está instalando um novo malware de roubo de informações chamado Daolpu.

Desde sexta-feira, quando a atualização problemática do CrowdStrike Falcon causou interrupções de TI globais, atores de ameaças começaram rapidamente a se aproveitar das notícias para entregar malware através de correções falsas.

Uma nova campanha realizada por meio de e-mails de phishing finge ser instruções para usar uma nova Ferramenta de Recuperação que corrige dispositivos Windows afetados pelos recentes crashes do CrowdStrike Falcon.

Uma vez ativo no sistema, o stealer coleta credenciais de contas, histórico de navegação e cookies de autenticação armazenados no Chrome, Edge, Firefox e nos navegadores web Cốc Cốc.

Acredita-se que o stealer Daolpu seja disseminado via e-mails de phishing que trazem um anexo de documento disfarçado como um manual de recuperação da Microsoft, nomeado 'New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows.docm'.

Este documento é uma cópia de um boletim de suporte da Microsoft que fornece instruções sobre como usar uma nova Ferramenta de Recuperação da Microsoft que automatiza a exclusão do driver problemático do CrowdStrike dos dispositivos Windows.

No entanto, esse documento contém macros que, quando ativadas, baixam um arquivo DDL codificado em base64 de um recurso externo e o soltam em '%TMP%mscorsvc.dll.'

Em seguida, as macros usam certutil do Windows para decodificar o DLL codificado em base64, que é executado para lançar o stealer Daolpu no dispositivo comprometido.

O Daolpu encerra todos os processos do Chrome em execução e, em seguida, tenta coletar dados de login e cookies salvos no Chrome, Edge, Firefox e outros navegadores baseados em Chromium.

Análises feitas mostram que ele também tem como alvo o Cốc Cốcm, um navegador web usado principalmente no Vietnã, possivelmente indicando a origem do malware.

Os dados roubados são temporariamente salvos em '%TMP%\result.txt', e depois apagados após serem enviados de volta aos atacantes em seu servidor C2 usando a URL 'http[:]//172.104.160[.]126:5000/Uploadss'.

O aviso da CrowdStrike sobre o novo malware inclui uma regra YARA para detectar artefatos do ataque e lista os indicadores de comprometimento associados.

A CrowdStrike insta seus clientes a seguir apenas conselhos encontrados no site da empresa ou em outras fontes confiáveis após confirmar a autenticidade de suas comunicações.

Infelizmente, o Daolpu é apenas o último exemplo de um esforço em larga escala por parte de cibercriminosos para tirar vantagem da situação caótica causada pela atualização falha do Falcon da CrowdStrike na semana passada, causando o crash de aproximadamente 8,5 milhões de sistemas Windows e exigindo esforço de restauração manual.

Atividades maliciosas previamente reportadas aproveitando-se das interrupções do Falcon da CrowdStrike incluem wipers de dados disseminados pelo grupo hacktivista pró-Irã 'Handala' e o HijackLoader distribuindo o RAT Remcos disfarçado como um hotfix do CrowdStrike.

Em geral, houve um aumento notável nas tentativas de phishing se passando por representantes da CrowdStrike para distribuir malware e um esforço massivo para registrar novos domínios para conduzir essas campanhas maliciosas.

Para o conselho oficial mais recente sobre remediação da CrowdStrike, monitore esta página da web, que é atualizada com novas recomendações oficiais da empresa.

A Microsoft também lançou uma ferramenta de recuperação personalizada para sistemas Windows impactados para ajudar a acelerar a recuperação.

As consequências da falha na atualização do Falcon da CrowdStrike não devem se resolver tão cedo, e as tentativas de exploração por parte de cibercriminosos provavelmente vão persistir e continuar em um ritmo alto por um tempo.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...