Manual falso da CrowdStrike distribui malware
24 de Julho de 2024

A CrowdStrike está alertando que um manual de recuperação falso para reparar dispositivos Windows está instalando um novo malware de roubo de informações chamado Daolpu.

Desde sexta-feira, quando a atualização problemática do CrowdStrike Falcon causou interrupções de TI globais, atores de ameaças começaram rapidamente a se aproveitar das notícias para entregar malware através de correções falsas.

Uma nova campanha realizada por meio de e-mails de phishing finge ser instruções para usar uma nova Ferramenta de Recuperação que corrige dispositivos Windows afetados pelos recentes crashes do CrowdStrike Falcon.

Uma vez ativo no sistema, o stealer coleta credenciais de contas, histórico de navegação e cookies de autenticação armazenados no Chrome, Edge, Firefox e nos navegadores web Cốc Cốc.

Acredita-se que o stealer Daolpu seja disseminado via e-mails de phishing que trazem um anexo de documento disfarçado como um manual de recuperação da Microsoft, nomeado 'New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows.docm'.

Este documento é uma cópia de um boletim de suporte da Microsoft que fornece instruções sobre como usar uma nova Ferramenta de Recuperação da Microsoft que automatiza a exclusão do driver problemático do CrowdStrike dos dispositivos Windows.

No entanto, esse documento contém macros que, quando ativadas, baixam um arquivo DDL codificado em base64 de um recurso externo e o soltam em '%TMP%mscorsvc.dll.'

Em seguida, as macros usam certutil do Windows para decodificar o DLL codificado em base64, que é executado para lançar o stealer Daolpu no dispositivo comprometido.

O Daolpu encerra todos os processos do Chrome em execução e, em seguida, tenta coletar dados de login e cookies salvos no Chrome, Edge, Firefox e outros navegadores baseados em Chromium.

Análises feitas mostram que ele também tem como alvo o Cốc Cốcm, um navegador web usado principalmente no Vietnã, possivelmente indicando a origem do malware.

Os dados roubados são temporariamente salvos em '%TMP%\result.txt', e depois apagados após serem enviados de volta aos atacantes em seu servidor C2 usando a URL 'http[:]//172.104.160[.]126:5000/Uploadss'.

O aviso da CrowdStrike sobre o novo malware inclui uma regra YARA para detectar artefatos do ataque e lista os indicadores de comprometimento associados.

A CrowdStrike insta seus clientes a seguir apenas conselhos encontrados no site da empresa ou em outras fontes confiáveis após confirmar a autenticidade de suas comunicações.

Infelizmente, o Daolpu é apenas o último exemplo de um esforço em larga escala por parte de cibercriminosos para tirar vantagem da situação caótica causada pela atualização falha do Falcon da CrowdStrike na semana passada, causando o crash de aproximadamente 8,5 milhões de sistemas Windows e exigindo esforço de restauração manual.

Atividades maliciosas previamente reportadas aproveitando-se das interrupções do Falcon da CrowdStrike incluem wipers de dados disseminados pelo grupo hacktivista pró-Irã 'Handala' e o HijackLoader distribuindo o RAT Remcos disfarçado como um hotfix do CrowdStrike.

Em geral, houve um aumento notável nas tentativas de phishing se passando por representantes da CrowdStrike para distribuir malware e um esforço massivo para registrar novos domínios para conduzir essas campanhas maliciosas.

Para o conselho oficial mais recente sobre remediação da CrowdStrike, monitore esta página da web, que é atualizada com novas recomendações oficiais da empresa.

A Microsoft também lançou uma ferramenta de recuperação personalizada para sistemas Windows impactados para ajudar a acelerar a recuperação.

As consequências da falha na atualização do Falcon da CrowdStrike não devem se resolver tão cedo, e as tentativas de exploração por parte de cibercriminosos provavelmente vão persistir e continuar em um ritmo alto por um tempo.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...