{"id":20296,"date":"2024-08-06T22:43:53","date_gmt":"2024-08-07T01:43:53","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=20296"},"modified":"2024-08-06T22:43:53","modified_gmt":"2024-08-07T01:43:53","slug":"crowdstrike-alerta-sobre-novo-golpe-de-phishing","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/08\/basico\/crowdstrike-alerta-sobre-novo-golpe-de-phishing\/","title":{"rendered":"CrowdStrike alerta sobre novo golpe de phishing"},"content":{"rendered":"\n

CrowdStrike alerta sobre novo golpe de phishing direcionado a clientes alem\u00e3es<\/strong><\/p>\n

\u00a0<\/p>\n

A CrowdStrike est\u00e1 alertando sobre um agente de amea\u00e7a desconhecido tentando capitalizar o\u00a0fiasco da atualiza\u00e7\u00e3o do Falcon Sensor\u00a0para distribuir instaladores duvidosos visando clientes alem\u00e3es como parte de uma campanha altamente direcionada.<\/p>\n

\u00a0<\/p>\n

A empresa de seguran\u00e7a cibern\u00e9tica disse ter identificado o que descreveu como uma tentativa de spear-phishing n\u00e3o atribu\u00edda em 24 de julho de 2024, distribuindo um instalador n\u00e3o aut\u00eantico do CrowdStrike Crash Reporter por meio de um site que se passava por uma entidade alem\u00e3 n\u00e3o identificada.<\/p>\n

\u00a0<\/p>\n

Dizem que o site impostor foi criado em 20 de julho, um dia ap\u00f3s a\u00a0atualiza\u00e7\u00e3o malfeita\u00a0ter travado quase 9 milh\u00f5es de dispositivos Windows, causando grandes interrup\u00e7\u00f5es de TI em todo o mundo.<\/p>\n

\u00a0<\/p>\n

“Depois que o usu\u00e1rio clica no bot\u00e3o Download, o site utiliza o JavaScript (JS) que se disfar\u00e7a como JQuery v3.7.1 para baixar e desofuscar o instalador”, informou a equipe de Opera\u00e7\u00f5es Anti-Advers\u00e1rio da CrowdStrike .<\/p>\n

\u00a0<\/p>\n

“O instalador cont\u00e9m a marca CrowdStrike, localiza\u00e7\u00e3o em alem\u00e3o e uma senha \u00e9 necess\u00e1ria para continuar instalando o malware.”<\/p>\n

\u00a0<\/p>\n

Especificamente, a p\u00e1gina de spear-phishing apresentava um link de download para um arquivo ZIP contendo um instalador malicioso do InnoSetup, com o c\u00f3digo malicioso servindo o execut\u00e1vel injetado em um arquivo JavaScript chamado “jquery-3.7.1.min.js” em um esfor\u00e7o aparente para evitar a detec\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

Usu\u00e1rios que acabam iniciando o instalador falso s\u00e3o ent\u00e3o solicitados a entrar em um “Backend-Server” para prosseguir. A CrowdStrike disse que n\u00e3o conseguiu recuperar o payload final implantado por meio do instalador.<\/p>\n

\u00a0<\/p>\n

A campanha \u00e9 avaliada como altamente direcionada devido ao fato de que o instalador \u00e9 protegido por senha e requer entrada que provavelmente s\u00f3 \u00e9 conhecida pelas entidades direcionadas. Al\u00e9m disso, a presen\u00e7a do idioma alem\u00e3o sugere que a atividade \u00e9 voltada para clientes CrowdStrike de l\u00edngua alem\u00e3.<\/p>\n

\u00a0<\/p>\n

“O agente da amea\u00e7a parece estar muito ciente das pr\u00e1ticas de seguran\u00e7a operacional (OPSEC), pois se concentrou em t\u00e9cnicas antiforenses durante esta campanha”, relatou a CrowdStrike.<\/p>\n

\u00a0<\/p>\n

“Por exemplo, o ator registrou um subdom\u00ednio sob o dom\u00ednio it[.]com, impedindo a an\u00e1lise hist\u00f3rica dos detalhes do registro do dom\u00ednio. Al\u00e9m disso, criptografar o conte\u00fado do instalador e impedir que outras atividades ocorram sem uma senha impede an\u00e1lises e atribui\u00e7\u00f5es posteriores.”<\/p>\n

\u00a0<\/p>\n

\"Greve<\/p>\n

\u00a0<\/p>\n

O desenvolvimento ocorre em meio a uma onda de ataques de phishing aproveitando o problema de atualiza\u00e7\u00e3o do CrowdStrike para propagar malware stealer e wiper.<\/p>\n

\u00a0<\/p>\n