Tội phạm mạng lợi dụng sự hỗn loạn của CrowdStrike để phát tán phần mềm độc hại

Thứ năm tuần trước, ngày 18/7, công ty an ninh mạng CrowdStrike đã phát hành một bản cập nhật liên quan đến Falcon Sensor trên Windows. Đây được cho là nguyên nhân gây ra sự cố ngay sau đó, dẫn đến gián đoạn hoạt động của hàng ngàn công ty thuộc nhiều lĩnh vực quan trọng trên toàn thế giới, bao gồm ngân hàng, hàng không và truyền thông… Ước tính sơ bộ cho thấy bản cập nhật có vấn đề này đã khiến gần 8,5 triệu PC Windows liên tục khởi động lại với mã lỗi 0x50 hoặc 0x7E Màn hình xanh chết chóc (BSOD).

Do hậu quả gây ra cực kỳ nặng nề, CrowdStrike và Microsoft đã lập tức cung cấp hướng dẫn cho những khách hàng bị ảnh hưởng để khôi phục PC của họ. Tuy nhiên trong khi các tổ chức, doanh nghiệp trên toàn thế giới đang nỗ lực khắc phục sự cố và trở lại trạng thái hoạt động bình thường, thì giới tội phạm mạng cũng đã nhanh chóng lợi dụng tình hình hỗn loạn để trục lợi trái phép.

Các chuyên gia bảo mật của CrowdStrike đang vừa phát đi cảnh báo khẩn về việc tội phạm mạng đang đẩy mạnh phân phối một kho lưu trữ ZIP độc hại có tên là Crowdtrike-hotfix.zip (mã băm SHA256: c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2). Kho lưu trữ Crowstrike-hotfix.zip này là phần mềm độc hại và chứa tải trọng HijackLoader tải RemCos. Các chuyên gia tin rằng tên tệp và hướng dẫn bằng tiếng Tây Ban Nha trong kho lưu trữ ZIP cho thấy chiến dịch này có thể nhắm mục tiêu chủ yếu đến khách hàng CrowdStrike có trụ sở tại Châu Mỹ Latinh (LATAM).

Ngoài chiến dịch phát tán mã độc, tội phạm mạng cũng đang nhắm mục tiêu vào khách hàng của CrowdStrike thông qua các chiến dịch lừa đảo. Chúng đang gửi email lừa đảo dưới danh nghĩa hỗ trợ CrowdStrike, mạo danh nhân viên CrowdStrike trong các cuộc gọi điện thoại, đóng giả là nhà nghiên cứu độc lập để cung cấp thông tin chi tiết về cách khắc phục và thậm chí bán tập lệnh để tự động khôi phục sự cố. Đã có không ít tổ chức trở thành nạn nhân của chiến dịch độc hại này.

Đây là danh sách các miền độc hại đã được tạo gần đây cho các chiến dịch lừa đảo:

crowdstrike.phpartners[.]org crowdstrike0day[.]com crowdstrikebluescreen[.]com crowdstrike-bsod[.]com crowdstrikeupdate[.]com crowdstrikebsod[.]com www.crowdstrike0day[.]com www.fix-crowdstrike-bsod[.]com crowdstrikeoutage[.]info www.microsoftcrowdstrike[.]com crowdstrikeodayl[.]com crowdstrike[.]buzz www.crowdstriketoken[.]com www.crowdstrikefix[.]com fix-crowdstrike-apocalypse[.]com microsoftcrowdstrike[.]com crowdstrikedoomsday[.]com crowdstrikedown[.]com whatiscrowdstrike[.]com crowdstrike-helpdesk[.]com crowdstrikefix[.]com fix-crowdstrike-bsod[.]com crowdstrikedown[.]site crowdstuck[.]org crowdfalcon-immed-update[.]com crowdstriketoken[.]com crowdstrikeclaim[.]com crowdstrikeblueteam[.]com crowdstrikefix[.]zip crowdstrikereport[.]com

CrowdStrike khuyến cáo khách hàng chỉ nên kết nối với đại diện của CrowdStrike thông qua các kênh chính thức, và tuân thủ hướng dẫn kỹ thuật do CrowdStrike và Microsoft cung cấp.

Trong khi CrowdStrike và Microsoft đang nỗ lực giảm thiểu thiệt hại trước mắt, các chiến dịch lừa đảo và phần mềm độc hại đang diễn ra càng nhấn mạnh sự tồn tại dai dẳng của tội phạm mạng, đòi hỏi mọi người luôn phải đề cao cảnh giác.