CrowdStrike, la empresa de ciberseguridad responsable del reciente apagón tecnológico global debido a una actualización defectuosa de Windows, ahora enfrenta un nuevo desafío: los ciberdelincuentes explotando la situación.
Por una parte, se ya ha detectado la distribución de Remcos RAT, una herramienta de acceso remoto que permite tomar el control de los dispositivos infectados a clientes de la compañía en Latinoamérica. Los ciberdelincuentes están engañando a los clientes de CrowdStrike, haciéndoles creer que la descarga e instalación de este malware es una solución al problema inicial.
El ataque consiste en la distribución de un archivo ZIP llamado «crowdstrike-hotfix.zip», que contiene un cargador de malware llamado Hijack Loader (también conocido como DOILoader o IDAT Loader) que, a su vez, lanza la carga útil Remcos RAT. En concreto, el archivo comprimido también incluye un archivo de texto («instrucciones.txt») con instrucciones en español que insta a los objetivos a ejecutar un archivo ejecutable («setup.exe») para recuperarse del problema.
También se ha puesto en marcha una campaña de sitios web falsos plagados de malware pero con la apariencia de ofrecer información o soluciones al colapso informático global. Sin embargo, su verdadero objetivo es robar información personal o vulnerar los dispositivos de los visitantes.
Estos sitios web fraudulentos utilizan nombres de dominio que incluyen palabras clave relevantes, como «CrowdStrike» o «pantalla azul» (el mensaje que aparece en los ordenadores afectados por el fallo).
Los expertos ya han advertido sobre este tipo de actividades maliciosas y piden que se extreme la vigilancia y se sigan instrucciones de fuentes oficiales. CrowdStrike proporcionó una lista de dominios identificados que suplantan la identidad de la marca y que, o bien sirven actualmente como sitios maliciosos para redirigir a las víctimas desde enlaces de phishing, o bien podrían utilizarse para hacerlo en el futuro.