Tin tặc đang sử dụng bản vá CrowdStrike giả mạo để phát tán mã độc

- Những kẻ tấn công đang lợi dụng sự gián đoạn kinh doanh nghiêm trọng do bản cập nhật lỗi của CrowdStrike vào thứ sáu vừa qua để nhắm vào các công ty.

Trong khi các doanh nghiệp đang tìm kiếm sự hỗ trợ để khắc phục các máy chủ Windows bị ảnh hưởng, các nhà nghiên cứu và cơ quan chính phủ đã phát hiện sự gia tăng các email lừa đảo cố gắng lợi dụng tình hình.

Kênh truyền thông chính thức

Trong bản cập nhật hôm qua, CrowdStrike cho biết họ "đang tập trung hỗ trợ khách hàng" bị ảnh hưởng bởi bản cập nhật lỗi gần đây khiến hàng triệu máy chủ Windows trên toàn thế giới bị sập.

Công ty lưu ý khách hàng nên xác minh rằng họ liên hệ với đại diện hợp pháp thông qua các kênh chính thức vì "các tác nhân đe dọa và những kẻ xấu sẽ cố gắng lợi dụng sự việc này".

“Tôi khuyến khích mọi người hãy luôn cảnh giác và đảm bảo rằng bạn đang tương tác với các đại diện chính thức của CrowdStrike. Blog và bộ phận hỗ trợ kỹ thuật của chúng tôi là những kênh chính thức để cập nhật thông tin mới nhất” - George Kurtz , Tổng giám đốc điều hành CrowdStrike cho biết.

Trung tâm An ninh mạng quốc gia (NCSC) Anh cũng cảnh báo rằng họ đã quan sát thấy sự gia tăng các tin nhắn lừa đảo nhằm lợi dụng sự cố mất mạng.

Nền tảng phân tích phần mềm độc hại tự động AnyRun nhận thấy "sự gia tăng các hoạt động mạo danh CrowdStrike có khả năng dẫn đến lừa đảo" [ 1 , 2 , 3 ].

Ngụy trang mã độc dưới dạng bản sửa lỗi và bản cập nhật

Vào thứ Bảy, nhà nghiên cứu an ninh mạng g0njxa lần đầu tiên báo cáo về một chiến dịch phần mềm độc hại nhắm vào khách hàng của ngân hàng BBVA bằng cách cung cấp bản cập nhật CrowdStrike Hotfix giả mạo được dùng để cài đặt Remcos RAT.

Bản vá giả mạo được quảng bá thông qua một trang web lừa đảo, portalintranetgrupobbva[.]com, giả mạo là cổng thông tin nội bộ của BBVA. Tệp tin độc hại này có kèm hướng dẫn yêu cầu nhân viên và đối tác cài đặt bản cập nhật để tránh lỗi khi kết nối với mạng nội bộ của công ty.

AnyRun, người cũng đã chia sẻ về cùng một chiến dịch, cho biết bản sửa lỗi giả mạo cung cấp HijackLoader, sau đó cài đặt công cụ truy cập từ xa Remcos trên hệ thống bị nhiễm.

Trong một cảnh báo khác, AnyRun cho biết rằng những kẻ tấn công đang phát tán phần mềm xóa dữ liệu dưới dạng bản cập nhật từ CrowdStrike. AnyRun cho biết: "Nó phá hủy hệ thống bằng cách ghi đè các tệp với dung lượng bằng 0 byte và sau đó báo cáo qua #Telegram".

Nhóm hacker Handala đã nhận trách nhiệm về chiến dịch này với tuyên bố trên Twitter rằng họ đã mạo danh CrowdStrike trong các email gửi đến các công ty Israel để phát tán phần mềm xóa dữ liệu.

Những kẻ tấn công đã mạo danh CrowdStrike bằng cách gửi email từ tên miền 'crowdstrike.com.vc', thông báo với khách hàng rằng có một công cụ được tạo ra để đưa hệ thống Windows trở lại trực tuyến.

Các email bao gồm một tệp PDF chứa hướng dẫn chi tiết về cách chạy bản cập nhật giả mạo, cũng như liên kết để tải xuống tệp ZIP độc hại có chứa một tệp thực thi có tên 'Crowdstrike.exe'.

Sau khi bản cập nhật CrowdStrike giả mạo được thực thi, công cụ xóa dữ liệu sẽ được giải nén vào thư mục trong %Temp% và khởi chạy để xóa dữ liệu được lưu trữ trên thiết bị.

Hàng triệu máy chủ Windows bị sập

Lỗi trong bản cập nhật phần mềm CrowdStrike đã gây ảnh hưởng lớn đến hệ thống Windows của nhiều tổ chức, tạo cơ hội để tội phạm mạng lợi dụng. Theo Microsoft, bản cập nhật lỗi này “ảnh hưởng đến 8,5 triệu thiết bị Windows hoặc ít hơn một phần trăm tổng số máy Windows”.

Thiệt hại xảy ra trong vòng 78 phút, từ 04:09 UTC đến 05:27 UTC. Mặc dù tỷ lệ hệ thống bị ảnh hưởng thấp và CrowdStrike đã nỗ lực khắc phục sự cố nhanh chóng nhưng tác động vẫn rất lớn.

Sự cố máy tính khiến hàng nghìn chuyến bay bị hủy, gián đoạn hoạt động tại các công ty tài chính, khiến bệnh viện, tổ chức truyền thông, đường sắt ngừng hoạt động và thậm chí ảnh hưởng đến các dịch vụ khẩn cấp.

Trong bài đăng trên blog sau sự cố vào thứ Bảy, CrowdStrike giải thích rằng nguyên nhân gây ra sự cố là do bản cập nhật một tệp Channel (cấu hình cảm biến) cho máy chủ Windows (phiên bản 7.11 trở lên) đã gây ra lỗi logic dẫn đến sự cố.

Mặc dù tệp tin gây ra sự cố đã được xác định và không còn gây ra sự cố nữa, các công ty vẫn đang gặp khó khăn trong việc khôi phục hoạt động bình thường cho hệ thống có thể làm theo hướng dẫn của CrowdStrike để khôi phục từng máy chủ, BitLocker Keys và môi trường cloud.

PV (theo bleepingcomputer.com/tinnhiemmang.vn)