Windows cihazlarına hatalı bir güncelleme göndererek dünya çapında BT kesintilerine neden olduğu gerekçesiyle eleştirilen siber güvenlik firması CrowdStrike, tehdit gruplarının bu durumdan yararlanarak Latin Amerika’daki müşterilerine düzeltme sağlama bahanesiyle Remcos RAT dağıttığı konusunda uyardı.
Saldırı zincirleri, Hijack Loader (diğer adıyla DOILoader veya IDAT Loader) adlı bir kötü amaçlı yazılım yükleyicisi içeren “crowdstrike-hotfix.zip” adlı bir ZIP arşiv dosyasının dağıtılmasını içeriyor ve bu da Remcos RAT yükünü başlatıyor.
Arşiv dosyası ayrıca, hedeflerin sorundan kurtulmak için yürütülebilir bir dosyayı (“setup.exe”) çalıştırmasını isteyen İspanyolca talimatlar içeren bir metin dosyası (“instrucciones.txt”) da içeriyor.
Şirket, kampanyayı şüpheli bir e-suç grubuna bağlayarak, “Özellikle, ZIP arşivindeki İspanyolca dosya adları ve talimatlar, bu kampanyanın büyük ihtimalle Latin Amerika merkezli (LATAM) CrowdStrike müşterilerini hedef aldığını gösteriyor” dedi.
CrowdStrike, Cuma günü, 19 Temmuz günü saat 04:09 UTC’de Windows cihazlar için Falcon platformuna gönderilen rutin bir sensör yapılandırma güncellemesinin yanlışlıkla bir mantık hatasını tetiklediğini ve bunun sonucunda Mavi Ekran Ölümü (BSoD) oluştuğunu, çok sayıda sistemin çalışmaz hale geldiğini ve işletmelerin zor durumda kaldığını kabul etti.
Olay, 04:09 ile 05:27 UTC saatleri arasında çevrimiçi olan ve Windows 7.11 ve üzeri sürümlerde Falcon sensör kullanan müşterileri etkiledi.
Kötü niyetli kişiler, olayın yarattığı kaos ortamından faydalanmak için hiç vakit kaybetmeden CrowdStrike’ı taklit eden yazım yanlışı yapan alan adları kurup, sorundan etkilenen şirketlere kripto para birimi ödemesi karşılığında hizmet reklamı yapıyorlar.
Etkilenen müşterilere “CrowdStrike temsilcileriyle resmi kanallar aracılığıyla iletişim kurduklarından ve CrowdStrike destek ekiplerinin sağladığı teknik rehberliğe uyduklarından emin olmaları” önerilir.