کمیته رکن چهارم – شرکت CrowdStrike، بانی اختلال گسترده جهان فناوری در روز جمعه، درباره حملات سایبری با سوءاستفاده از بهروزرسانی معیوب این شرکت برای توزیع بدافزار Remcos RAT هشدار داد.
شرکت امنیت سایبری CrowdStrike، که به دلیل ایجاد اختلالات گسترده در فناوری اطلاعات سراسر جهان با انتشار یک بهروزرسانی معیوب برای دستگاههای ویندوز با انتقاد روبرو شده است، اکنون هشدار میدهد که بازیگران مخرب سایبری در حال سوء استفاده از این وضعیت برای توزیع بدافزار Remcos RAT به مشتریان خود در آمریکای لاتین تحت عنوان ارائهکننده وصله (hotfix) هستند.
این حملات با توزیع یک فایل بایگانی ZIP به نام “crowdstrike-hotfix.zip” انجام میشود که حاوی یک لودر بدافزار به نام Hijack Loader است که همچنین با نامهای DOILoader یا IDAT Loader شناخته میشود و به نوبه خود، پیلود بدافزار Remcos RAT را اجرا میکند. به طور خاص، فایل بایگانی همچنین شامل یک فایل متنی (“instrucciones.txt”) با دستورالعملهای زبان اسپانیایی است که با اصرار از قربانیان میخواهد فایل اجرایی (“setup.exe”) را برای بازیابی از مشکل اجرا کنند.
شرکت CrowdStrike این حمله را به یک گروه suspected e-crime نسبت داد و گفت: قابل توجه است که نام فایلها و دستورالعملهای اسپانیایی موجود در بایگانی ZIP نشان میدهد که این حمله به احتمال زیاد مشتریان CrowdStrike مستقر در آمریکای لاتین (LATAM) را هدف قرار داده است.
روز جمعه، شرکت CrowdStrike تایید کرد که یک بهروزرسانی پیکربندی سنسور معمولی که ۱۹ جولای در ساعت ۰۴:۰۹ به وقت هماهنگ جهانی برای دستگاههای ویندوز با پلتفرم Falcon آنها ارسال شده بود، به طور ناخواسته یک خطای منطقی را ایجاد کرد که منجر به صفحه آبی مرگ (Blue Screen of Death) شد و باعث از کار افتادن سیستمهای متعدد و ایجاد اختلال در کسبوکارها شد. این رویداد بر مشتریانی که سنسور Falcon برای ویندوز نسخه ۷.۱۱ و بالاتر را اجرا میکردند و بین ساعت ۰۴:۰۹ تا ۰۵:۲۷ صبح به وقت هماهنگ جهانی آنلاین بودند، تأثیر گذاشت.
هکرهای فرصتطلب برای بهره برداری از هرجومرجی که توسط این رویداد ایجاد شده است، وقت را تلف نکرده اند و با ایجاد دامنههای تقلبی (typosquatting) که خود را به عنوان CrowdStrike جا میزنند و خدمات خود را به شرکتهای تحت تأثیر این مشکل در ازای پرداخت ارز دیجیتال تبلیغ میکنند، از این وضعیت سوءاستفاده کردهاند.
CrowdStrike به مشتریانی که تحت تأثیر قرار گرفتهاند توصیه میکند که از طریق کانالهای رسمی با نمایندگان این شرکت ارتباط برقرار کنند و به راهنماییهای فنی ارائهشده توسط تیمهای پشتیبانی CrowdStrike پایبند باشند.
شرکت مایکروسافت نیز در یک پست وبلاگی نوشت: تخمین میزنیم حدود هشتونیم میلیون دستگاه دارای ویندوز یا کمتر از یک درصد تمام ماشینهایی که با این سیستم عامل کار میکنند، تحت تاثیر بهروزرسانی نرمافزاری معیوب کراود استرایک قرار گرفتهاند… . هرچند این درصد، اندک بوده اما تاثیرات وسیع اقتصادی و اجتماعی این رویداد نشاندهنده استفاده کارآفرینان از نرمافزار کراود استرایک برای ارائه بسیاری از سرویسهای حیاتی است.
منبع : افتانا