La empresa de ciberseguridad CrowdStrike, que enfrenta críticas por causar interrupciones de TI en todo el mundo al lanzar una actualización defectuosa para dispositivos Windows, ahora advierte que los actores de amenazas están explotando la situación para distribuir Remcos RAT a sus clientes en América Latina con el pretexto de proporcionar una revisión.
Las cadenas de ataque implican la distribución de un archivo ZIP llamado «archivo crowdstrike-hotfix.zipque contiene un cargador de malware llamado Hijack Loader (también conocido como DOILoader o IDAT Loader) que, a su vez, lanza la carga útil Remcos RAT.
Específicamente, el archivo comprimido también incluye un archivo de texto («instrucciones.txt») con instrucciones en español que instan a los objetivos a ejecutar un archivo ejecutable («setup.exe») para recuperarse del problema.
«Cabe destacar que los nombres de archivo y las instrucciones en español dentro del archivo ZIP indican que esta campaña probablemente esté dirigida a clientes de CrowdStrike con sede en América Latina (LATAM)», dijo la empresa. dichoatribuyendo la campaña a un presunto grupo de delitos electrónicos.
El viernes, CrowdStrike reconoció que una actualización rutinaria de la configuración del sensor enviada a su plataforma Falcon para dispositivos Windows el 19 de julio a las 04:09 UTC desencadenó inadvertidamente un error lógico que resultó en una pantalla azul de la muerte (BSoD), dejando numerosos sistemas inoperantes y enviando a las empresas a una caída en picada.
El evento afectó a los clientes que ejecutan el sensor Falcon para Windows versión 7.11 y superiores, que estuvieron en línea entre las 04:09 y las 05:27 am UTC.
Los actores maliciosos no han perdido tiempo en aprovechar el caos creado por el evento para crear dominios de typosquatting haciéndose pasar por CrowdStrike y publicitar servicios a empresas afectadas por el problema a cambio de un pago en criptomonedas.
Se recomienda a los clientes afectados que «se aseguren de comunicarse con los representantes de CrowdStrike a través de los canales oficiales y cumplan con las pautas técnicas que les han proporcionado los equipos de soporte de CrowdStrike».