CrowdStrike est\u00e1 alertando sobre un actor de amenazas desconocido que intenta aprovechar el fiasco de la actualizaci\u00f3n de Falcon Sensor para distribuir instaladores dudosos dirigidos a clientes alemanes como parte de una campa\u00f1a altamente dirigida.<\/p>\n
La empresa de ciberseguridad dijo que identific\u00f3 lo que describi\u00f3 como un intento de phishing no atribuido el 24 de julio de 2024, distribuyendo un instalador no aut\u00e9ntico de CrowdStrike Crash Reporter a trav\u00e9s de un sitio web que se hac\u00eda pasar por una entidad alemana an\u00f3nima.<\/p>\n
Se dice que el sitio web impostor fue creado el 20 de julio, un d\u00eda despu\u00e9s de que la actualizaci\u00f3n fallida bloqueara casi 9 millones de dispositivos Windows, causando extensas interrupciones de TI en todo el mundo.<\/p>\n
“Despu\u00e9s de que el usuario hace clic en el bot\u00f3n Descargar, el sitio web aprovecha JavaScript (JS) que se hace pasar por JQuery v3.7.1 para descargar y desofuscar el instalador”, dijo el equipo de Operaciones Contra Adversarios de CrowdStrike. dicho<\/a>.<\/p>\n “El instalador contiene la marca CrowdStrike, localizaci\u00f3n en alem\u00e1n y una contrase\u00f1a. [is] necesario continuar instalando el malware.”<\/p>\n Espec\u00edficamente, la p\u00e1gina de phishing conten\u00eda un enlace de descarga a un archivo ZIP que conten\u00eda un instalador malicioso de InnoSetup, con el c\u00f3digo malicioso sirviendo el ejecutable inyectado en un archivo JavaScript llamado “jquery-3.7.1.min.js” en un aparente esfuerzo por evadir la detecci\u00f3n.<\/p>\n A los usuarios que terminan ejecutando el instalador falso se les solicita que ingresen a un “servidor backend” para continuar. CrowdStrike dijo que no pudo recuperar la carga \u00fatil final implementada a trav\u00e9s del instalador.<\/p>\n Se considera que la campa\u00f1a est\u00e1 muy dirigida debido a que el instalador est\u00e1 protegido con contrase\u00f1a y requiere una informaci\u00f3n que probablemente solo conozcan las entidades a las que va dirigida. Adem\u00e1s, la presencia del idioma alem\u00e1n sugiere que la actividad est\u00e1 dirigida a los clientes de CrowdStrike que hablan alem\u00e1n.<\/p>\n “El actor de la amenaza parece estar muy al tanto de las pr\u00e1cticas de seguridad de las operaciones (OPSEC), ya que se ha centrado en t\u00e9cnicas antiforenses durante esta campa\u00f1a”, dijo CrowdStrike.<\/p>\n “Por ejemplo, el actor registr\u00f3 un subdominio bajo el nombre it[.]com, lo que impide el an\u00e1lisis hist\u00f3rico de los detalles de registro del dominio. Adem\u00e1s, cifrar el contenido del instalador y evitar que se produzcan m\u00e1s actividades sin una contrase\u00f1a impide un an\u00e1lisis y una atribuci\u00f3n posteriores.<\/p>\n El desarrollo se produce en medio de una ola de ataques de phishing que aprovechan el problema de actualizaci\u00f3n de CrowdStrike para propagar malware ladr\u00f3n.<\/p>\n El jueves, el director ejecutivo de CrowdStrike, George Kurtz, dijo que el 97% de los dispositivos Windows que quedaron fuera de l\u00ednea durante la interrupci\u00f3n global del servicio de TI ahora est\u00e1n operativos.<\/p>\n “En CrowdStrike, nuestra misi\u00f3n es ganarnos su confianza protegiendo sus operaciones. Lamento profundamente la interrupci\u00f3n que ha causado esta interrupci\u00f3n y me disculpo personalmente con todos los afectados”, dijo Kurtz. dicho<\/a>“Si bien no puedo prometer la perfecci\u00f3n, s\u00ed puedo prometer una respuesta centrada, eficaz y con sentido de urgencia”.<\/p>\n Anteriormente, el director de seguridad de la empresa, Shawn Henry, se disculp\u00f3 por no “proteger a las buenas personas de las cosas malas” y por haber “defraudado a las mismas personas que nos comprometimos a proteger”.<\/p>\n “La confianza que construimos con las gotas a lo largo de los a\u00f1os se perdi\u00f3 en cuesti\u00f3n de horas, y fue un golpe al est\u00f3mago”, dijo Henry. admitido<\/a>“Nos comprometemos a recuperar su confianza brind\u00e1ndoles la protecci\u00f3n que necesitan para desbaratar a los adversarios que los atacan. A pesar de este rev\u00e9s, la misi\u00f3n sigue adelante”.<\/p>\n Mientras tanto, el an\u00e1lisis de Bitsight de los patrones de tr\u00e1fico exhibidos por las m\u00e1quinas CrowdStrike en organizaciones a nivel mundial ha revelado dos puntos de datos “interesantes” que, seg\u00fan afirma, justifican una investigaci\u00f3n adicional.<\/p>\n “En primer lugar, el 16 de julio, alrededor de las 22:00, hubo un gran pico de tr\u00e1fico, seguido de una ca\u00edda clara y significativa en el tr\u00e1fico de salida de las organizaciones a CrowdStrike”, dijo el investigador de seguridad Pedro Umbelino. dicho<\/a>En segundo lugar, se produjo una ca\u00edda significativa, entre el 15% y el 20%, en el n\u00famero de IP \u00fanicas y organizaciones conectadas a los servidores CrowdStrike Falcon, despu\u00e9s del amanecer del d\u00eda 19.<\/p>\n “Si bien no podemos inferir a qu\u00e9 se puede atribuir la causa ra\u00edz del cambio en los patrones de tr\u00e1fico el d\u00eda 16, s\u00ed justifica la pregunta fundamental de ‘\u00bfExiste alguna correlaci\u00f3n entre las observaciones del d\u00eda 16 y la interrupci\u00f3n del servicio el d\u00eda 19?'”<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/CrowdStrike-advierte-sobre-una-nueva-estafa-de-phishing-dirigida-a.png\")
<\/a><\/center><\/section>\n<\/a><\/div>\n\n
\n