La firma de ciberseguridad CrowdStrike enfrenta presión tras una actualización defectuosa para dispositivos Windows que causó interrupciones globales. Los ciberdelincuentes están explotando esta situación para distribuir el malware Remcos RAT a clientes en América Latina, presentándose como proveedores de soluciones.
Ataques a través de Archivos ZIP Falsos
Los ataques implican el envío de un archivo ZIP llamado «crowdstrike-hotfix.zip», que contiene un cargador de malware conocido como Hijack Loader (también llamado DOILoader o IDAT Loader). Este cargador luego despliega la carga útil de Remcos RAT. El archivo ZIP también incluye un documento de texto («instrucciones.txt») con instrucciones en español, instando a los usuarios a ejecutar un archivo ejecutable («setup.exe») para solucionar el problema.
Objetivo: América Latina
Los nombres de archivo y las instrucciones en español sugieren que esta campaña se dirige a clientes de CrowdStrike en América Latina. La compañía atribuye esta actividad a un presunto grupo de delitos electrónicos.
Fallo de Actualización y Oportunidad para Ciberdelincuentes
El problema se originó el 19 de julio a las 04:09 UTC, cuando una actualización de la configuración del sensor en la plataforma Falcon para Windows provocó un error lógico, resultando en la «pantalla azul de la muerte» (BSoD) y dejando numerosos sistemas inoperativos. Los clientes afectados estaban ejecutando la versión 7.11 o superior del sensor Falcon para Windows entre las 04:09 y las 05:27 a.m. UTC.
Typosquatting y Solicitudes Fraudulentas
Los ciberdelincuentes han aprovechado el caos para establecer dominios de typosquatting que se hacen pasar por CrowdStrike, ofreciendo servicios a cambio de pagos en criptomonedas. CrowdStrike recomienda a los clientes afectados que se comuniquen únicamente a través de canales oficiales y sigan la orientación técnica proporcionada por sus equipos de soporte.
Impacto Global y Colaboración con Microsoft
Microsoft, colaborando con CrowdStrike en los esfuerzos de remediación, informó que el colapso afectó a 8,5 millones de dispositivos Windows en todo el mundo, menos del uno por ciento de todas las máquinas Windows. Los dispositivos Mac y Linux no se vieron afectados.
Importancia de la Seguridad en la Cadena de Suministro
Este incidente resalta los riesgos de depender de cadenas de suministro tecnológicas y subraya la importancia de implementar medidas de seguridad robustas y planes de recuperación ante desastres. CrowdStrike y Microsoft destacan la necesidad de priorizar la operación segura en el ecosistema tecnológico global.
Fuente: Thehacker News