Autor: Lakshya Mathur, Vallabh Chole y Abhishek Karnik Recientemente hemos sido testigos de una de las interrupciones de TI más importantes de la historia, que afectó a una amplia gama de sectores, como la banca, las aerolíneas y los servicios de emergencia. En el centro de esta interrupción estaba CrowdStrike, conocido por sus soluciones de seguridad empresarial Falcon. El problema se derivó de una actualización de seguridad defectuosa que corrompió el kernel del sistema operativo Windows, lo que provocó una pantalla azul de la muerte (BSOD) generalizada. El incidente estimuló comportamientos oportunistas entre los estafadores y los creadores de malware. McAfee Labs señaló: Estafas de no entrega: Los primeros signos de posibles estafas de no entrega poco después del evento, con algunas tiendas en línea comercializando rápidamente productos que se burlaban del incidente de CrowdStrike. Suplantación de dominio: se observó un aumento notable en los registros de dominios que contenían el término «CrowdStrike» después del inicio de la interrupción. Los estafadores pueden registrar nombres de dominio para engañar a las personas y hacerles pensar que el sitio está relacionado con una empresa legítima o familiar, para engañar a los usuarios para que visiten el sitio para realizar ataques de phishing, difundir malware o recopilar información confidencial. Malware: los desarrolladores de malware disfrazaron rápidamente software dañino como Remcos, Wiper y Stealers como herramientas de reparación para la interrupción. Es posible que personas desprevenidas hayan descargado este software en un esfuerzo por restaurar sus sistemas. Estafas de voz: también hubo informes de llamadas automáticas que ofrecían asistencia para estos problemas, aunque McAfee no ha verificado estas afirmaciones. Es importante señalar que los usuarios de Mac y Linux no se vieron afectados por este incidente, ya que los problemas se limitaron a los sistemas Windows. Además, dado que CrowdStrike atiende principalmente al mercado empresarial, las fallas afectaron predominantemente a los servicios comerciales en lugar de a los sistemas de consumo personal. Sin embargo, los efectos dominó de la interrupción pueden haber causado inconvenientes para los consumidores que tratan con los proveedores de servicios afectados, y todos los consumidores deben estar muy atentos a las comunicaciones no solicitadas de fuentes que afirman ser una empresa afectada. Este blog describe las diversas amenazas de malware y estafas observadas desde que se produjo la interrupción el viernes 19 de julio de 2024. Carga útil del ladrón de malware con temática de CrowdStrike a través de macros basadas en documentos Este archivo, que parece proporcionar pautas de recuperación, incorpora de forma encubierta una macro que instala silenciosamente malware diseñado para robar información. Primera página del documento malicioso Cadena de infección Zip -> Doc -> Cmd.exe -> Curl.exe -> URL maliciosa -> Rundll32.exe -> Carga útil de la DLL del ladrón de información El archivo Doc utiliza macros maliciosas, Curl.exe y Certutil.exe para descargar la carga útil de la DLL del ladrón de información malicioso. El ladrón finaliza todos los procesos del navegador en ejecución y luego intenta robar datos de inicio de sesión y coolies de diferentes navegadores. Todos los datos robados se guardan en la carpeta %Temp% en un archivo de texto. Estos datos se envían al servidor C2 del atacante. Descarga de archivo PDF Malware Wiper Los atacantes usan un archivo PDF y spam malicioso para engañar a las víctimas para que descarguen una supuesta herramienta de recuperación. Al hacer clic en el enlace proporcionado, se conecta a una URL maliciosa, que luego descarga una carga útil de malware Wiper. Este limpiador de datos se extrae en la carpeta %Temp% y su propósito principal es destruir los datos almacenados en el dispositivo de la víctima. Archivo PDF con el tema de la herramienta de remediación CrowdStrike Cadena de infección PDF -> URL maliciosa -> Zip -> Carga útil Wiper Remcos RAT entregado con el tema CrowdStrike Fix Se ha observado que los archivos Zip etiquetados como «crowdstrike-hotfix.zip» que llevan el malware Hijack Loader, que luego implementa Remcos RAT, se distribuyen a las víctimas. Además, el archivo zip incluye un archivo de texto con instrucciones sobre cómo ejecutar el archivo .exe para resolver el problema. Remcos RAT permite a los atacantes obtener acceso remoto a la máquina de la víctima y robar información confidencial de su sistema. Dominios y URL suplantados tras interrupción del servicio de CrowdStrike Una vez que la interrupción del servicio ganó la atención de los medios, se registraron numerosos dominios que contenían la palabra «crowdstrike», con el objetivo de manipular los resultados de los motores de búsqueda. Durante el fin de semana, varios de estos dominios recién registrados se activaron. A continuación, se muestran algunos ejemplos: https[:]//pagar.recuperación de huelga de multitudes[.]com/ , pagar[.]huelga de payasos[.]com, pagar[.]alianza de ataque[.]com Los dominios fraudulentos conducen a la página de pagos Crowdstrike-helpdesk[.]Dominios que actualmente están estacionados y no están activos. Además, se establecieron numerosas billeteras de criptomonedas utilizando un tema inspirado en CrowdStrike. twitter[.]com/CrowdStrikeETH/ Algunas otras billeteras relacionadas con la interrupción de CrowdStrike además de las mencionadas anteriormente. bitcoin:1M8jsPNgELuoXXXXXXXXXXXXyDNvaxXLsoT ethereum:0x1AEAe8c6XXXXXXXXXXX76ac49bb3816A4eB4455b En resumen, la mayoría de los consumidores que usan dispositivos en casa podrían no verse afectados directamente por este incidente. Sin embargo, si ha experimentado problemas como demoras en las aerolíneas, interrupciones bancarias, atención médica o interrupciones de servicio similares desde el 19 de julio, podrían estar relacionados con este evento. Tenga cuidado si recibe llamadas telefónicas, mensajes SMS, correos electrónicos o cualquier forma de contacto que ofrezca asistencia para remediar esta situación. A menos que opere un negocio que use CrowdStrike, es probable que no se vea afectado. Para conocer el proceso y los pasos de remediación, siga el artículo oficial de CrowdStrike: https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/ Lista de hashes de malware conocidos y dominios potencialmente no deseados: Hashes Tipo 96dec6e07229201a02f538310815c695cf6147c548ff1c6a0def2fe38f3dcbc8 Wiper Zip 803727ccdf441e49096f3fd48107a5fe55c56c080f46773cd649c9e55ec1be61 Stealer Docx c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2 RemcosRAT Zip 19001dd441e50233d7f0addb4fcd405a70ac3d5e310ff20b331d6f1a29c634f0 Limpiador PDF d6d5ff8e9dc6d2b195a6715280c2f1ba471048a7ce68d256040672b801fda0ea RemcosRAT DLL 4491901eff338ab52c85a77a3fbd3ce80fda738046ee3b7da7be468da5b331a3 Limpiador EXE Dominios hxxps://crowdstrike0day[.]con hxxps://crowdstrikefix[.]con hxxps://crowdstrike-bsod[.]con hxxps://crowdstrikedoomsday[.]con hxxps://crowdstrikedown[.]sitio hxxps://www[.]Ficha de ataque de multitudes[.]con hxxps://crowdstriketoken[.]con hxxps://crowdstrikebsod[.]con hxxps://arreglar-el-apocalipsis-de-la-agresión-de-la-masa[.]con hxxp://crowdfalcon-actualizacion-inmediata[.]con hxxp://crowdstrikefix[.]con hxxp://arreglar-el-apocalipsis-de-la-agresión-de-la-masa[.]con hxxps://crowdstrike[.]socios de ph[.]orghxxps://www[.]Solución de problemas de crowdstrike[.]con hxxp://crowdstrikebsod[.]con hxxp://crowdstrikeclaim[.]con hxxp://crowdstrikeupdate[.]con hxxp://crowdstrike[.]zumbido hxxp://crowdstrike0day[.]con hxxp://crowdstrike-bsod[.]con hxxp://crowdstrikedoomsday[.]con hxxp://crowdstrikedown[.]sitio hxxp://crowdstrikefix[.]código postal hxxp://crowdstrike-helpdesk[.]con hxxp://crowdstrikeoutage[.]Información hxxp://crowdstrikereport[.]con hxxp://crowdstriketoken[.]con hxxp://crowdstuck[.]org hxxp://arreglar el error de pantalla azul de Crowdstrike[.]con hxxp://microsoftcrowdstrike[.]con hxxp://microsoftcrowdstrike[.]con/hxxp://whatiscrowdstrike[.]con hxxp://www[.]Solución de problemas de crowdstrike[.]Presentamos McAfee+ Protección contra robo de identidad y privacidad para su vida digital Descargue McAfee+ ahora \x3Cimg height=»1″ width=»1″ style=»display:none» src=»https://www.facebook.com/tr?id=766537420057144&ev=PageView&noscript=1″ />\x3C/noscript>’);