Criminosos cibernéticos estão aproveitando uma falha na atualização do CrowdStrike para espalhar malware Remcos RAT.

A empresa de segurança cibernética CrowdStrike, atualmente enfrentando críticas por causar interrupções globais de TI com uma atualização defeituosa para dispositivos Windows, agora alerta que agentes de ameaças estão explorando a situação para distribuir o Remcos RAT entre seus clientes na América Latina, disfarçado como um hotfix de correção.

Os ataques envolvem a disseminação de um arquivo ZIP denominado “crowdstrike-hotfix.zip“, que contém um carregador de malware conhecido como Hijack Loader (também chamado de DOILoader ou IDAT Loader), responsável por iniciar o Remcos RAT como carga útil.

Dentro do arquivo compactado, há também um arquivo de texto (“instrucciones.txt”) com instruções em espanhol, instruindo os alvos a executarem um arquivo executável (“setup.exe”) para remediar o problema relatado.

A empresa indicou que os nomes de arquivos em espanhol e as instruções contidas no arquivo ZIP sugerem que esta campanha provavelmente visa clientes da CrowdStrike na América Latina (LATAM), atribuindo-a a um grupo suspeito de crimes cibernéticos.

CrowdStrike

Na sexta-feira, a CrowdStrike admitiu que uma atualização de rotina da configuração do sensor enviada à sua plataforma Falcon para dispositivos Windows em 19 de julho às 04:09 UTC inadvertidamente causou um erro lógico, resultando em uma Tela Azul da Morte (BSoD), deixando vários sistemas inoperantes e levando empresas a um colapso.

O incidente afetou clientes que utilizavam o sensor Falcon para Windows versão 7.11 e superior, que estavam online entre 04h09 e 05h27 UTC.

Aproveitando o caos gerado pelo evento, atores mal-intencionados rapidamente capitalizaram criando domínios de typosquatting que se passavam pela CrowdStrike, oferecendo serviços para empresas afetadas em troca de pagamento em criptomoeda.

Recomenda-se que os clientes afetados “garantam que estão se comunicando com representantes da CrowdStrike através dos canais oficiais e sigam as orientações técnicas fornecidas pelas equipes de suporte da CrowdStrike”.

A Microsoft, que tem colaborado com a CrowdStrike na mitigação, relatou que o colapso digital afetou 8,5 milhões de dispositivos Windows globalmente, representando menos de um por cento de todas as máquinas Windows.

Este incidente ressalta os riscos associados à dependência de cadeias de suprimentos monoculturais e representa um dos eventos cibernéticos mais disruptivos até agora tornado oficialmente público. Dispositivos Mac e Linux não foram afetados pela interrupção.

“A natureza interconectada do nosso amplo ecossistema — provedores globais de nuvem, plataformas de software, fornecedores de segurança e outros fornecedores de software, e clientes — é demonstrada por este incidente”, afirmou a gigante da tecnologia. “Também serve como um lembrete da importância de priorizar operações com implantação segura e recuperação de desastres utilizando os mecanismos existentes no ecossistema de tecnologia.”