CrowdStrike: manuale di riparazione fake nasconde malware

CrowdStrike ha avvertito gli utenti che un falso manuale di ripristino per riparare i dispositivi Windows sta installando un nuovo malware. Quest’ultimo, chiamato Daolpu, è un infostealer in grado di rubare informazioni. Da quando l’aggiornamento difettoso di CrowdStrike Falcon ha causato interruzioni IT globali, gli hacker hanno iniziato a sfruttare ciò per diffondere malware attraverso soluzioni false. Questa campagna di phishing inganna gli utenti fingendosi un modulo di istruzioni sull'utilizzo di un nuovo strumento di ripristino che ripara i dispositivi Windows interessati dai recenti arresti anomali di CrowdStrike Falcon. Una volta attivo nel sistema, l’hacker raccoglie le credenziali dell'account, la cronologia e i cookie di autenticazione archiviati nei browser Chrome, Edge, Firefox ecc.

Secondo quanto riportato, il malaware Daolpu viene diffuso tramite e-mail di phishing che contengono un documento allegato mascherato da manuale di ripristino di Microsoft. Quest’ultimo è denominato " 'New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows. docm". Questo documento è una copia di un bollettino di supporto Microsoft che fornisce istruzioni sull'utilizzo di un nuovo strumento di ripristino Microsoft che automatizza l'eliminazione del driver problematico CrowdStrike dai dispositivi Windows. Tuttavia, questo documento contiene macro che, se abilitate, scaricano un file DDL con codifica base64 da una risorsa esterna e lo rilasciano in "% TMP%mscorsvc.dll". Successivamente, le macro utilizzano Windows certutil per decodificare la DLL con codifica base64. Quest’ultima viene eseguita per avviare il ladro Daolpu sul dispositivo compromesso. Daolpu termina tutti i processi Chrome in esecuzione e quindi tenta di raccogliere dati di accesso e cookie salvati su browser Chromium.

CrowdStrike: i tentativi di phishing sono aumentati esponenzialmente

L'avviso di CrowdStrike sul nuovo malware include una regola YARA per rilevare gli artefatti dell'attacco ed elenca gli indicatori di compromissione associati. CrowdStrike consiglia dia seguire i presenti suggerimenti sul sito web dell'azienda o su altre fonti attendibili solo dopo aver confermato l'autenticità delle loro comunicazioni. Sfortunatamente, Daolpu è solo l'ultimo esempio di attacco da parte dei criminali informatici per trarre vantaggio dalla situazione caotica causata dall'aggiornamento Falcon di CrowdStrike. Le attività dannose segnalate in precedenza che sfruttano le interruzioni di CrowdStrike Falcon includono i data wiper diffusi dal gruppo di hacktivisti filo-iraniano "Handala" e HijackLoader che rilasciano Remcos RAT mascherato da hotfix CrowdStrike.

In generale, si è registrato un notevole aumento dei tentativi di phishing che si spacciano per rappresentanti di CrowdStrike per distribuire malware. Inoltre, sono stati registrati nuovi domini per condurre queste campagne dannose. Per evitare di cadere nella trappola, è sempre bene fare affidamento al sito ufficiale di Chrowdstrike. Microsoft ha inoltre rilasciato uno strumento di ripristino personalizzato per i sistemi Windows interessati per velocizzare il ripristino. Non si prevede che le conseguenze dell'aggiornamento difettoso di Falcon di CrowdStrike si risolvano presto. Tuttavia, è probabile che i tentativi di sfruttamento dei criminali informatici persistano e continuino a ritmo elevato per un po'.