Windows cihazlarına hatalı bir güncelleme göndererek dünya çapında BT kesintilerine neden olduğu gerekçesiyle eleştirilen siber güvenlik firması CrowdStrike, tehdit gruplarının bu durumdan yararlanarak Latin Amerika’daki müşterilerine düzeltme sağlama bahanesiyle Remcos RAT dağıttığı konusunda uyardı.
Saldırı zincirleri ” adlı bir ZIP arşiv dosyasının dağıtılmasını içerirkalabalık grevi-düzeltmesi.zipHijack Loader (diğer adıyla DOILoader veya IDAT Loader) adında bir kötü amaçlı yazılım yükleyicisi içerir ve bu yükleyici de Remcos RAT yükünü başlatır.
Arşiv dosyası ayrıca, hedeflerin sorundan kurtulmak için yürütülebilir bir dosyayı (“setup.exe”) çalıştırmasını isteyen İspanyolca talimatlar içeren bir metin dosyası (“instrucciones.txt”) da içeriyor.
Şirket, “Özellikle, ZIP arşivindeki İspanyolca dosya adları ve talimatlar, bu kampanyanın büyük ihtimalle Latin Amerika merkezli (LATAM) CrowdStrike müşterilerini hedef aldığını gösteriyor” dedi. söz konusukampanyayı şüpheli bir e-suç grubuna bağlayarak.
CrowdStrike, Cuma günü, 19 Temmuz günü saat 04:09 UTC’de Windows cihazlar için Falcon platformuna gönderilen rutin bir sensör yapılandırma güncellemesinin yanlışlıkla bir mantık hatasını tetiklediğini ve bunun sonucunda Mavi Ekran Ölümü (BSoD) oluştuğunu, çok sayıda sistemin çalışmaz hale geldiğini ve işletmelerin zor durumda kaldığını kabul etti.
Olay, 04:09 ile 05:27 UTC saatleri arasında çevrimiçi olan ve Windows 7.11 ve üzeri sürümlerde Falcon sensör kullanan müşterileri etkiledi.
Kötü niyetli kişiler, olayın yarattığı kaos ortamından faydalanmak için hiç vakit kaybetmeden CrowdStrike’ı taklit eden yazım yanlışı yapan alan adları kurup, sorundan etkilenen şirketlere kripto para birimi ödemesi karşılığında hizmet reklamı yapıyorlar.
Etkilenen müşterilere “CrowdStrike temsilcileriyle resmi kanallar aracılığıyla iletişim kurduklarından ve CrowdStrike destek ekiplerinin sağladığı teknik rehberliğe uyduklarından emin olmaları” önerilir.