En un giro reciente de los acontecimientos, CrowdStrike ha emitido una advertencia relacionada con un actor de amenazas desconocido. Según la alerta de CrowdStrike, el actor de amenazas pretende sacar provecho de la actualización del sensor Falcon de CrowdStrike. En este artículo, profundizaremos en los detalles de la alerta y cómo se estaba atacando a los clientes alemanes. ¡Comencemos!
Según informes recientes de los medios relacionados con la alerta de CrowdStrike, el objetivo de explotar la actualización del sensor Falcon de CrowdStrike era distribuir instaladores maliciosos. La iniciativa era parte de una campaña dirigida a clientes alemanes.
Al entrar en más detalles, se descubrió que los instaladores maliciosos se distribuían mediante un sitio web que imitaba a una entidad alemana anónima. Estos instaladores eran para una variante no auténtica del instalador CrowdStrike Crash Reporter.
También se ha revelado que el sitio web en sí se creó el 20 de julio de 2024, solo un día después de que una actualización de la empresa provocara el bloqueo de alrededor de 9 millones de dispositivos Windows. Cuatro días después, el 24 de julio de 2024, se iniciaron intentos de phishing selectivo.
En lo que respecta a los detalles del ataque del exploit Falcon Sensor de CrowdStrike, inicialmente se solicitó a los usuarios que descargaran el instalador malicioso. Cuando alguien hacía clic en el botón “Descargar”, el sitio web aprovechaba JavaScript (JS) que imitaba JQuery v3.7.1. A partir de ahí, procedía a descargar el instalador malicioso.
Vale la pena mencionar aquí que el instalador tenía una marca que se parecía a CrowdStrike, estaba localizado para usuarios alemanes y no se podía utilizar sin una contraseña. A quienes instalaron el archivo malicioso se les solicitó que ingresaran a un “servidor backend”. Dado que el instalador estaba protegido con contraseña, la campaña debió haber sido muy específica.
En base al hecho de que la campaña estaba muy específica, los usuarios finales deben haber conocido la entrada. Para brindar más detalles sobre el ataque, un extracto de la alerta de CrowdStrike dice:
“El actor de la amenaza parece estar muy consciente de las prácticas de seguridad de operaciones (OPSEC), ya que se ha centrado en técnicas antiforenses durante esta campaña. Por ejemplo, el actor registró un subdominio bajo el dominio it[.]com, lo que evita el análisis histórico de los detalles de registro del dominio. Además, cifrar el contenido del instalador y evitar que se produzcan más actividades sin una contraseña impide un mayor análisis y atribución”.
Info – Ciberseguridad Latam