A empresa de segurança cibernética CrowdStrike emitiu um alerta urgente relacionado a um ataque de phishing inédito que tem como alvo clientes na Alemanha. De acordo com a companhia, os cibercriminosos estão se aproveitando das consequências de uma recente atualização falha do Falcon Sensor, uma ferramenta de proteção da própria CrowdStrike, para disseminar instaladores fraudulentos.
Em detalhes divulgados pela equipe Anti-Adversário da empresa, em 24 de julho de 2024, foram identificadas tentativas de spear-phishing com um instalador não reconhecido da CrowdStrike, camuflado através de um website que se fazia passar por uma entidade alemã. Este site foi registrado um dia após a atualização problemática que resultou no travamento de cerca de 9 milhões de dispositivos Windows, afetando operações de TI globalmente.
O mecanismo empregado no golpe envolve o uso de um script JavaScript disfarçado como uma versão legítima da biblioteca jQuery, que, ao ser executado pelo usuário através do botão de download, desofusca e baixa o instalador malicioso. O arquivo ainda requer a inserção de uma senha específica para prosseguir com a instalação do malware não identificado.
Os especialistas avaliam o ataque como altamente segmentado, uma vez que a necessidade de uma senha e a localização em alemão indicam que o alvo são entidades específicas que utilizam soluções da CrowdStrike nesse idioma. A estratégia inclui ainda o registro criterioso de subdomínios e criptografia avançada, visando dificultar a análise forense e a atribuição do ataque.
Além disso, foram relatados outros métodos de ataque de phishing utilizando o incidente recente com o objetivo de espalhar o malware “Lumma” e um ladrão de informações chamado “Connecio”. Enquanto isso, a empresa assegura que já restabeleceu a operacionalidade de 97% dos dispositivos afetados pela paralisação de TI e se compromete em reconquistar a confiança perdida após este incidente.
O CEO da CrowdStrike, George Kurtz, expressou seu pedido de desculpas e compromisso com a urgência e eficácia na resposta aos incidentes. A missão da empresa de proteger seus clientes de ameaças cibernéticas continua sendo prioridade, ainda que o acontecimento tenha marcado um ponto baixo na reputação da CrowdStrike.
Por fim, a análise da Bitsight sugere que as anomalias no tráfego de rede das máquinas da CrowdStrike poderiam ter uma correlação com as interrupções sofridas dias antes, suscitando questões adicionais a serem investigadas.
Mantenha-se atualizado com as últimas notícias de segurança cibernética e muito mais seguindo o TecMania.
