L’entreprise de cybersécurité CrowdStrike, qui fait face à des critiques pour avoir provoqué des perturbations informatiques dans le monde entier en diffusant une mise à jour défectueuse sur les appareils Windows, prévient désormais que les acteurs malveillants exploitent la situation pour distribuer Remcos RAT à ses clients en Amérique latine sous couvert de fournir un correctif.
Les chaînes d’attaque impliquent la distribution d’un fichier d’archive ZIP nommé «crowdstrike-hotfix.zip, » qui contient un chargeur de malware nommé Hijack Loader (alias DOILoader ou IDAT Loader) qui, à son tour, lance la charge utile Remcos RAT.
Plus précisément, le fichier d’archive comprend également un fichier texte (« instrucciones.txt ») contenant des instructions en espagnol qui invitent les cibles à exécuter un fichier exécutable (« setup.exe ») pour résoudre le problème.
« Il convient de noter que les noms de fichiers et les instructions en espagnol dans l’archive ZIP indiquent que cette campagne cible probablement les clients CrowdStrike basés en Amérique latine (LATAM) », a déclaré la société. ditattribuant la campagne à un groupe présumé de cybercriminalité.
Vendredi, CrowdStrike a reconnu qu’une mise à jour de configuration de capteur de routine poussée sur sa plateforme Falcon pour les appareils Windows le 19 juillet à 04h09 UTC a déclenché par inadvertance une erreur logique qui a entraîné un écran bleu de la mort (BSoD), rendant de nombreux systèmes inutilisables et envoyant les entreprises dans une spirale infernale.
L’événement a eu un impact sur les clients exécutant le capteur Falcon pour Windows version 7.11 et supérieure, qui étaient en ligne entre 04h09 et 05h27 UTC.
Les acteurs malveillants n’ont pas perdu de temps pour capitaliser sur le chaos créé par l’événement pour créer des domaines de typosquatting se faisant passer pour CrowdStrike et promouvoir des services auprès des entreprises touchées par le problème en échange d’un paiement en crypto-monnaie.
Il est recommandé aux clients concernés de « s’assurer qu’ils communiquent avec les représentants de CrowdStrike via les canaux officiels et de respecter les conseils techniques fournis par les équipes d’assistance de CrowdStrike ».