Crowdstrike, Windows cihazlarını onarmak için sahte bir kurtarma kılavuzunun Daolpu adlı yeni bir bilgi çalma kötü amaçlı yazılımı yüklediğini uyarıyor.
Buggy Crowdstrike Falcon güncellemesinin küresel BT kesintilerine neden olduğu Cuma gününden bu yana, tehdit aktörleri, sahte yazılımlar ile kötü amaçlı yazılım sunmak için haberlerden hızla yararlanmaya başladı.
Kimlik avı e -postaları aracılığıyla yapılan yeni bir kampanya, son Crowdstrike Falcon kazalarından etkilenen Windows cihazlarını düzelten yeni bir kurtarma aracı kullanma talimatları gibi davranıyor.
Sistemde etkin olduktan sonra, Stealer Hasat Hasat Kimlik Bilgileri, Tarayıcı Geçmişi ve Chrome, Edge, Firefox ve CốC CốC Web tarayıcılarında saklanan kimlik doğrulama çerezleri.
Daolpu Stealer, 'New_Recovery_tool_to_Help_With_Ith_CROWDSTRECE_USE_IMPACTING_WINDOWS adlı bir Microsoft Kurtarma Kılavuzu olarak gizlenmiş bir belge eki taşıyan kimlik avı e -postaları aracılığıyla yayıldığına inanılıyor. Docm. '
Bu belge, Windows cihazlarından sorunlu Crowdstrike sürücüsünü otomatikleştiren yeni bir Microsoft kurtarma aracı kullanma konusunda talimatlar sunan bir Microsoft Destek Bülteni'nin bir kopyasıdır.
Ancak, bu belge etkinleştirildiğinde, harici bir kaynaktan Base64 kodlu bir DDL dosyasını indiren ve '% TMP% mscorsvc.dll'e bırakan makrolar içerir.
Ardından, makrolar, Daolpu Stealer'ı tehlikeye atılan cihazda başlatmak için yürütülen Base64 kodlu DLL'nin kodunu çözmek için Windows Certutil kullanır.
Daolpu, çalışan tüm krom işlemleri sonlandırır ve daha sonra Chrome, Edge, Firefox ve diğer krom tarayıcılarına kaydedilen giriş verilerini ve çerezleri toplamaya çalışır.
BleepingComputer'ın analizi, öncelikle Vietnam'da kullanılan bir web tarayıcısı olan Cốc Cốcm'yi de hedeflediğini, muhtemelen kötü amaçlı yazılımların kökenini gösterdiğini gösteriyor.
Çalınan veriler geçici olarak '%TMP%\ sonuç.txt'e kaydedilir ve daha sonra URL' HTTP [:] // 172.104.160 [.] 126: 5000'i kullanarak C2 sunucusundaki saldırganlara geri gönderildikten sonra silinir. /Uploadss '.
Crowdstrike'ın yeni kötü amaçlı yazılımlar hakkındaki danışmanlığı, saldırının eserlerini tespit etmek için bir Yara kuralı içerir ve ilişkili uzlaşma göstergelerini listeler.
Crowdstrike, müşterilerini, iletişimlerinin gerçekliğini doğruladıktan sonra yalnızca şirketin web sitesinde veya diğer güvenilir kaynaklarda bulunan tavsiyeleri izlemeye çağırıyor.
Ne yazık ki, Daolpu, siber suçluların geçen hafta geç saatlerde Crowdstrike'in Falcon güncellemesinin neden olduğu kaotik durumdan yararlanmak için büyük ölçekli bir çabanın en son örneğidir ve yaklaşık 8.5 milyon pencere sisteminin çökmesine ve manuel restorasyon çabası gerektirir.
Crowdstrike Falcon kesintilerinden yararlanan daha önce bildirilen kötü niyetli etkinlikler, İran yanlısı hacktivist grubu 'Handala' tarafından yayılan veri sileceklerini ve bir Crowdstrike hotfix olarak gizlenmiş Remcos sıçanını düşüren veri sileceklerini içerir.
Genel olarak, Crowdstrike temsilcilerini kötü amaçlı yazılım dağıtmak için kimliğe bürünen kimlik avı denemelerinde dikkate değer bir artış ve bu kötü amaçlı kampanyaları yürütmek için yeni alanlar kaydetmek için büyük bir çaba sarf edilmiştir.
CrowdStrike'ın en son resmi iyileştirme tavsiyesi için, şirketten yeni resmi önerilerle güncellenen bu web sayfasını izleyin.
Microsoft ayrıca, iyileşmeyi hızlandırmaya yardımcı olmak için etkilenen Windows sistemleri için özel bir kurtarma aracı yayınladı.
Crowdstrike'ın hatalı Falcon güncellemesinden gelen serpinin yakında temizlenmesi beklenmiyor ve siber suçluların sömürü girişimlerinin bir süre devam etmesi ve devam etmesi muhtemel.
Infostealer kötü amaçlı yazılım günlükleri, çocuk istismarı web sitesi üyelerini tanımlamak için kullanılan
Yeni açılmayan Hemlock Tehdit Oyuncusu Sistem Sistemleri Kötü Yazılımlarla Sistemler
Sahte Google Chrome hataları sizi kötü niyetli Powershell komut dosyaları çalıştırmaya kandırıyor
Microsoft, Crowdstrike sürücüsünü kaldırmak için Windows Onarım aracını serbest bıraktı
Revolver Rabbit Gang, kötü amaçlı yazılım kampanyaları için 500.000 alan kaydetti
Kaynak: Bleeping Computer