本周四,网络安全公司 CrowdStrike发布 了一个有问题的 Windows 版Falcon Sensor代理更新,导致包括银行、航空公司和媒体公司在内的多家机构的日常运营受到严重干扰。该问题更新导致近 850 万台 Windows 电脑连续重启,并出现错误代码 0x50 或 0x7E 的蓝屏死机(BSOD)错误。
此后,CrowdStrike 和微软分别为受影响的客户提供了恢复 PC 的指导。
在全球个人和机构争相修复受 CrowdStrike 影响的 PC 时,网络犯罪分子却在利用这一危急情况。CrowdStrike 注意到,网络犯罪分子正在分发名为crowdstrike-hotfix.zip的恶意ZIP压缩包(SHA256 哈希值:c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2)。
crowdstrike-hotfix.zip压缩包是完完全全的恶意软件,包含可加载RemCos的HijackLoader载荷。CrowdStrike 认为,ZIP 压缩包中的西班牙文文件名和说明表明,该活动的目标可能是拉丁美洲 (LATAM) 的 CrowdStrike 客户。
除恶意软件活动外,网络犯罪分子还针对 CrowdStrike 客户开展网络钓鱼攻击。他们冒充 CrowdStrike 支持人员发送钓鱼电子邮件,在电话中冒充 CrowdStrike 员工,冒充独立研究人员提供修复见解,甚至出售脚本宣称可以自动恢复 CrowdStrike 更新问题。
最近为网络钓鱼活动创建了以下恶意域:
crowdstrike.phpartners[.]org crowdstrike0day[.]com crowdstrikebluescreen[.]com crowdstrike-bsod[.]com crowdstrikeupdate[.]com crowdstrikebsod[.]com www.crowdstrike0day[.]comwww.fix-crowdstrike-bsod[.]com crowdstrikeoutage[.]info www.microsoftcrowdstrike[.]com crowdstrikeodayl[.]com crowdstrike[.]buzz www.crowdstriketoken[.]com www.crowdstrikefix[.]com fix-crowdstrike-apocalypse[.]com microsoftcrowdstrike[.]com crowdstrikedoomsday[.]com crowdstrikedown[.]com whatiscrowdstrike[.]com crowdstrike-helpdesk[.]com crowdstrikefix[.]com fix-crowdstrike-bsod[.]com crowdstrikeedown[.]site crowdstuck[.]org crowdfalcon-immed-update[.]com crowdstrikeetoken[.]com crowdstrikeclaim[.]com crowdstrikeblueteam[.]com crowdstrikefix[.]zip crowdstrikeereport[.]com
CrowdStrike 建议客户仅通过官方渠道与 CrowdStrike 代表联系,并坚持使用 CrowdStrike 和微软提供的技术指导。微软最近还更新了他们的指南,提供了一种涉及恢复驱动器的自动方法。
虽然 CrowdStrike 和微软已努力减轻直接损失,但持续不断的网络钓鱼和恶意软件活动凸显了网络犯罪分子利用混乱局面的顽固性。