CrowdStrike advierte que un manual de recuperación falso para reparar dispositivos Windows instala un nuevo malware de robo de información llamado Daolpu.
Desde el viernes, cuando la actualización defectuosa de CrowdStrike Falcon provocó cortes informáticos en todo el mundo, los actores de amenazas rápidamente comenzaron a aprovechar la noticia para lanzar malware a través de parches falsos.
Una nueva campaña realizada a través de correos electrónicos de phishing afirma ser instrucciones sobre el uso de una nueva herramienta de recuperación que repara dispositivos Windows afectados por fallas recientes de CrowdStrike Falcon.
Una vez activo en el sistema, el ladrón recopila las credenciales de la cuenta, el historial del navegador y las cookies de autenticación almacenadas en los navegadores web Chrome, Edge, Firefox y Cốc Cốc.
Propagación de Daolpu
Se cree que el ladrón de Daolpu se propaga a través de correos electrónicos de phishing que contienen un archivo adjunto disfrazado de manual de recuperación de Microsoft, llamado “New_recovery_tool_to_help_deal_with_CrowdStrike_impacting_Windows_problem”. documento”.
Fuente: BleepingComputer
Este documento es una copia de un Boletín de soporte de Microsoft que proporciona instrucciones sobre el uso de una nueva herramienta de recuperación de Microsoft que automatiza la eliminación del controlador CrowdStrike problemático de los dispositivos Windows.
Sin embargo, este documento contiene macros que, cuando están habilitadas, descargan un archivo DDL codificado en base64 desde un recurso externo y lo colocan en “%TMP%mscorsvc.dll”.
Fuente: BleepingComputer
A continuación, las macros utilizan Windows certutil para decodificar la DLL codificada en base64, que se ejecuta para iniciar el ladrón Daolpu en el dispositivo comprometido.
Daolpu finaliza todos los procesos de Chrome en ejecución y luego intenta recopilar datos de inicio de sesión y cookies guardadas en Chrome, Edge, Firefox y otros navegadores Chromium.
El análisis de BleepingComputer muestra que también apunta a Cốc Cốcm, un navegador web utilizado principalmente en Vietnam, lo que posiblemente indica el origen del malware.
Los datos robados se guardan temporalmente en “%TMP%\result.txt” y luego se eliminan después de ser enviados de vuelta a los atacantes en su servidor C2 utilizando la URL “http[:]//172.104.160[.]126:5000/Descargas’.
Revisión de CrowdStrike El nuevo malware incluye una regla YARA para detectar artefactos de ataque y enumera indicadores de compromiso asociados.
CrowdStrike insta a sus clientes a seguir los consejos que se encuentran en el sitio web de la empresa u otras fuentes confiables solo después de confirmar la autenticidad de sus comunicaciones.
Las consecuencias
Desafortunadamente, Daolpu es solo el último ejemplo de un esfuerzo a gran escala por parte de los ciberdelincuentes para aprovechar la situación caótica causada por la actualización Falcon de CrowdStrike a finales de la semana pasada, causando aproximadamente 8,5 millones de sistemas Windows y requiriendo un esfuerzo de restauración manual.
Las actividades maliciosas reportadas anteriormente que aprovechan las interrupciones de CrowdStrike Falcon incluyen borradores de datos lanzados por el grupo hacktivista pro-Irán “Handala” y HijackLoader que lanza Remcos RAT disfrazado de un parche de CrowdStrike.
En general, se ha producido un aumento notable de los intentos de phishing haciéndose pasar por representantes de CrowdStrike para distribuir malware y un esfuerzo masivo por registrar nuevos dominios para llevar a cabo estas campañas maliciosas.
Para obtener la última guía oficial de solución de CrowdStrike, consulte esta pagina webque se actualiza con nuevas recomendaciones oficiales de la empresa.
Microsoft también ha lanzado una herramienta de recuperación personalizada para los sistemas Windows afectados para acelerar la recuperación.
No se espera que las consecuencias de la actualización defectuosa de Falcon de CrowdStrike desaparezcan pronto, y se espera que los intentos de explotación de los ciberdelincuentes persistan y continúen a un ritmo elevado durante algún tiempo.
