20 de julio de 2024Sala de prensaMalware / Interrupciones de TI La empresa de ciberseguridad CrowdStrike, que enfrenta críticas por causar interrupciones de TI en todo el mundo al implementar una actualización defectuosa para dispositivos Windows, ahora advierte que los actores de amenazas están explotando la situación para distribuir Remcos RAT a sus clientes en América Latina con el pretexto de proporcionar una revisión. Las cadenas de ataque implican la distribución de un archivo ZIP llamado «crowdstrike-hotfix.zip», que contiene un cargador de malware llamado Hijack Loader (también conocido como DOILoader o IDAT Loader) que, a su vez, lanza la carga útil de Remcos RAT. Específicamente, el archivo también incluye un archivo de texto («instrucciones.txt») con instrucciones en español que instan a los objetivos a ejecutar un archivo ejecutable («setup.exe») para recuperarse del problema. «Cabe destacar que los nombres de archivo en español y las instrucciones dentro del archivo ZIP indican que esta campaña probablemente esté dirigida a los clientes de CrowdStrike con sede en América Latina (LATAM)», dijo la compañía, atribuyendo la campaña a un presunto grupo de delitos electrónicos. El viernes, CrowdStrike reconoció que una actualización de configuración de sensor de rutina enviada a su plataforma Falcon para dispositivos Windows el 19 de julio a las 04:09 UTC desencadenó inadvertidamente un error lógico que resultó en una pantalla azul de la muerte (BSoD), dejando inoperativos a numerosos sistemas y enviando a las empresas a una caída en picada. El evento afectó a los clientes que ejecutan el sensor Falcon para Windows versión 7.11 y superior, que estuvieron en línea entre las 04:09 y las 05:27 am UTC. Los actores maliciosos no han perdido el tiempo en capitalizar el caos creado por el evento para configurar dominios de typosquatting que se hacen pasar por CrowdStrike y publicitar servicios a las empresas afectadas por el problema a cambio de un pago en criptomonedas. Se recomienda a los clientes afectados que «se aseguren de comunicarse con los representantes de CrowdStrike a través de los canales oficiales y respeten las pautas técnicas que les han proporcionado los equipos de soporte de CrowdStrike». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.