Siber güvenlik şirketi CrowdStrike’ın geçtiğimiz hafta Windows’taki Falcon Sensor aracına yönelik problemli bir güncelleme yayınlamasının akabinde bankalar, havayolları ve medya şirketleri de dahil olmak üzere çeşitli kuruluşların günlük operasyonlarında büyük aksamalar yaşandı. Bu problemli güncelleme, çok sayıda Windows PC’nin 0x50 yahut 0x7E Mavi Ekran (BSOD) yanılgı koduyla daima olarak tekrar başlatılmasına neden oldu. Sorunun akabinde CrowdStrike ve Microsoft, etkilenen müşterilere bilgisayarlarını kurtarmaları için rehberlik sağladı.
Ancak günlük operasyonlarında büyük problemler yaşayan kullanıcılar CrowdStrike’dan etkilenen bilgisayarları onarmaya çalışırken, siber hatalılar bu kritik durumdan faydalanmanın çeşitli yollarını denemeye başladılar. CrowdStrike, siber hatalıların Crowdstrike-hotfix.zip (SHA256 hash: c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2) isimli berbat emelli bir ZIP arşivi dağıttığını fark ettiğini söylüyor.
Crowdstrike-hotfix.zip arşivi bir makûs maksatlı yazılım ve RemCos’u yükleyen bir HijackLoader verisi içeriyor. CrowdStrike, ZIP arşivindeki İspanyolca evrak isimlerinin ve talimatların, bu kampanyanın muhtemelen Latin Amerika merkezli (LATAM) CrowdStrike müşterilerini amaç aldığını gösterdiğine inanıyor.
Siber hatalılar, bu makus emelli yazılım dağıtımı kampanyasının yanı sıra kimlik avı kampanyalarıyla da CrowdStrike müşterilerini maksat alıyor. Durumdan faydalanmaya çalışan siber hatalılar, CrowdStrike’ın takviye hizmeti üzere görünen kimlik avı e-postaları gönderiyorlar, telefon görüşmelerinde CrowdStrike çalışanlarının kimliğine bürünüyorlar, güzelleştirme öngörüleri sunmak için bağımsız araştırmacılar üzere davranıyorlar ve hatta CrowdStrike güncelleme probleminden kurtarmayı otomatikleştirmek için komut evrakları satıyorlar.
Kimlik avı kampanyaları için yakın vakitte aşağıdaki makûs maksatlı alan isimleri oluşturuldu:
crowdstrike.phpartners[.]org crowdstrike0day[.]com crowdstrikebluescreen[.]com crowdstrike-bsod[.]com crowdstrikeupdate[.]com crowdstrikebsod[.]com www.crowdstrike0day[.]com www.fix-crowdstrike-bsod[.]com crowdstrikeoutage[.]info www.microsoftcrowdstrike[.]com crowdstrikeodayl[.]com crowdstrike[.]buzz www.crowdstriketoken[.]com www.crowdstrikefix[.]com fix-crowdstrike-apocalypse[.]com microsoftcrowdstrike[.]com crowdstrikedoomsday[.]com crowdstrikedown[.]com whatiscrowdstrike[.]com crowdstrike-helpdesk[.]com crowdstrikefix[.]com fix-crowdstrike-bsod[.]com crowdstrikedown[.]site crowdstuck[.]org crowdfalcon-immed-update[.]com crowdstriketoken[.]com crowdstrikeclaim[.]com crowdstrikeblueteam[.]com crowdstrikefix[.]zip crowdstrikereport[.]com
CrowdStrike, müşterilerine CrowdStrike temsilcileriyle sırf resmi kanallar aracılığıyla irtibat kurmalarını ve CrowdStrike ve Microsoft tarafından sağlanan teknik rehberliğe bağlı kalmalarını tavsiye ediyor. Ayrıyeten kısa bir mühlet evvel Microsoft, kurtarma şoförlerini içeren otomatik bir formül sunmak için kılavuzunu güncelledi.
