يستغل مجرمو الإنترنت حادث تحديث CrowdStrike لتوزيع برامج Remcos RAT الضارة
شركة الأمن السيبراني CrowdStrike، التي تواجه ضغوطًا بسبب التسبب في اضطرابات تكنولوجيا المعلومات في جميع أنحاء العالم من خلال دفع تحديث معيب لأجهزة Windows، تحذر الآن من أن الجهات الفاعلة في مجال التهديد تستغل الوضع لتوزيع Remcos RAT على عملائها في أمريكا اللاتينية تحت ستار توفير الإصلاح.
تتضمن سلاسل الهجوم توزيع ملف أرشيف ZIP باسم “crowdstrike-hotfix.zip“، والذي يحتوي على أداة تحميل البرامج الضارة المسماة Hijack Loader (المعروفة أيضًا باسم DOILoader أو IDAT Loader) والتي بدورها تقوم بتشغيل حمولة Remcos RAT.
على وجه التحديد، يتضمن ملف الأرشيف أيضًا ملفًا نصيًا (“instrucciones.txt”) يتضمن تعليمات باللغة الإسبانية تحث الأهداف على تشغيل ملف قابل للتنفيذ (“setup.exe”) للتعافي من المشكلة.
“من الجدير بالذكر أن أسماء الملفات والتعليمات الإسبانية الموجودة في أرشيف ZIP تشير إلى أن هذه الحملة تستهدف على الأرجح عملاء CrowdStrike في أمريكا اللاتينية (LATAM)” قالونسبت الحملة إلى مجموعة جرائم إلكترونية مشتبه بها.
في يوم الجمعة، أقرت CrowdStrike بأن تحديثًا روتينيًا لتكوين المستشعر تم دفعه إلى منصة Falcon الخاصة بها لأجهزة Windows في 19 يوليو الساعة 04:09 بالتوقيت العالمي المنسق، أدى عن غير قصد إلى حدوث خطأ منطقي أدى إلى ظهور شاشة زرقاء للموت (BSoD)، مما يجعل العديد من الأنظمة غير قابلة للعمل وإرسال رسائل الشركات في حالة من الفوضى.
أثر هذا الحدث على العملاء الذين يستخدمون Falcon Sensor لنظام التشغيل Windows الإصدار 7.11 والإصدارات الأحدث، والذين كانوا متصلين بالإنترنت بين الساعة 04:09 و05:27 صباحًا بالتوقيت العالمي المنسق.
لم تضيع الجهات الفاعلة الضارة أي وقت في الاستفادة من الفوضى التي أحدثها الحدث لإنشاء نطاقات سطو مطبعي تنتحل صفة CrowdStrike والإعلان عن الخدمات للشركات المتضررة من المشكلة مقابل دفع عملة مشفرة.
يُنصح العملاء المتأثرون “بالتأكد من أنهم يتواصلون مع ممثلي CrowdStrike من خلال القنوات الرسمية والالتزام بالإرشادات الفنية التي قدمتها فرق دعم CrowdStrike.”
إرسال التعليق