Phishing : de faux correctifs CrowdStrike utilisés pour cibler les entreprises avec des malwares !
Depuis vendredi 19 juillet 2024 et la diffusion de la mise à jour CrowdStrike à l'origine d'une grosse pagaille à l'échelle mondiale, de nombreuses entreprises recherchent de l'aide. Les cybercriminels l'ont bien compris : ils ont mis en place plusieurs campagnes malveillantes pour tirer profit de la situation. Faisons le point.
Que ce soit du côté de CrowdStrike ou des agences spécialisées dans la cybersécurité, le discours est le même : plusieurs acteurs malveillants essaient de profiter de la situation pour mener à bien des cyberattaques. Et pour cause, avec un total de 8,5 millions de PC Windows hors services à l'échelle mondiale, la remise en ligne de ces machines représente un travail colossal.
Au sujet des menaces actuelles, voici les propos de George Krutz, fondateur de CrowdStrike : "Nous savons que les adversaires et les acteurs malveillants essaieront d'exploiter des événements comme celui-ci. J'encourage tout le monde à rester vigilant et à s'assurer que l'on s'adresse à des représentants officiels de CrowdStrike."
Plusieurs campagnes ont déjà été identifiées et font usage des techniques suivantes :
- Envoi de phishing par e-mail aux clients en se faisant passer pour le service d'assistance de CrowdStrike.
- Usurpation de l'identité du personnel de CrowdStrike lors d'appels téléphoniques.
- Se faire passer pour des chercheurs indépendants en prétendant avoir la preuve que ce problème technique est lié à une cyberattaque, et proposer des solutions pour se protéger.
- La vente de scripts censés automatiser le rétablissement des machines impactées par le problème de mise à jour.
Dans certains cas, l'objectif est de déployer un outil de prise en main à distance permettant au pirate d'avoir un accès distant au réseau de l'entreprise. Dans d'autres cas, c'est un logiciel malveillant destructeur de données que les attaquants cherchent à déployer.
Des mises à jour CrowdStrike malveillantes...
Ce week-end, un chercheur en sécurité a évoqué sur X une tentative d'attaque à l'encontre des clients de la banque espagnole BBVA. Les pirates proposent une fausse mise à jour de type "Hotfix" pour CrowdStrike dans le but de déployer le RAT Remcos, en usurpant l'identité du portail intranet de BBVA ("portalintranetgrupobbva[.]com").
Par ailleurs, comme le rapporte ANY.RUN sur X, les pirates cherchent aussi à déployer un malware de type data wiper, c'est-à-dire destructeur de données. Il s'avère que cette campagne a été revendiquée par le groupe hacktiviste pro-iranien Handala.
Le nom de domaine "crowdstrike.com.vc" est utilisé pour envoyer des e-mails malveillants et usurper l'identité de l'entreprise CrowdStrike. Cet e-mail précise qu'un outil est disponible pour remettre en service les appareils Windows.
Pour accéder à cet outil, l'utilisateur doit ouvrir un document PDF qui indique les instructions de téléchargement. Ce fameux document PDF contient un lien vers une archive ZIP qui elle-même contient un fichier nommé "Crowdstrike.exe". Il s'agit d'un malware destructeur de données déguisé en fausse mise à jour CrowdStrike.
Les noms de domaine malveillants
Enfin, dans cet article, CrowdStrike référence des noms de domaines malveillants pouvant être utilisés pour tenter de piéger les entreprises à la recherche de support. Voici la liste de noms de domaine :
Si vous êtes client CrowdStrike, soyez extrêmement vigilant. Si vous cherchez à obtenir une assistance, vérifiez à bien être en contact avec le support de CrowdStrike.
