Recientemente, un error en una actualización de CrowdStrike Falcon causó una interrupción significativa en los sistemas de Microsoft, afectando millones de dispositivos en todo el mundo. Este incidente ha abierto la puerta a una serie de nuevas amenazas de malware que los ciberdelincuentes propagan como parches o actualizaciones que supuestamente, corregirían este problema.
Que los cibercriminales ocupen este incidente o cualquier evento coyuntural, o de interés para las personas con el propósito de propagar código malicioso no es nuevo. Se llama ingeniería social y es un tipo de manipulación que los ciberdelincuentes implementan para engañar a las personas y hacer que revelen información confidencial, o hagan cosas que pongan en peligro la seguridad de sus sistemas. Se basa en la explotación de la confianza, el miedo, la urgencia y la curiosidad.
De los malware observados, destacamos dos:
- Wiper: detectado por ESET como NSIS/Runner.U, es un código malicioso que ocupa Autoit y que simula ser una actualización que corrige el problema causado por CrowdStrike. Tiene un icono semejante al logo de la empresa e incluso está firmado con un certificado inválido de VideoLan. Junto con este archivo, se adjunta un PDF con instrucciones sobre este supuesto parche. Este troyano intenta destruir todo el contenido del computador, por eso, se le da el nombre de Wiper. La amenaza en acción se puede ver en este enlace.
- Infostealer: otro código malicioso que utiliza la temática de CrowdStrike es el malware Rugmi. Se trata de un troyano diseñado para descargar distintas familias de infostealer como Lumma, Vidar, Rescoms, y RecordBreaker. En este caso, este código malicioso fue propagado como una falsa actualización (crowdstrike-hotfix.zip) y llama la atención que la descarga provenía de una URL de Dropbox de un sitio que hace alusión al Grupo BBVA, por lo mismo, es presumible que la campaña de malware haya sido dirigida a dicha institución. Esta amenaza es detectada por ESET como Win32/TrojanDownloader.Rugmi.AKS y en caso de ser ejecutada, descargaba e instalada el infostealer Rescoms con el propósito de robar información confidencial.
Como se puede observar, los cibercriminales no trepidarán en ocupar cualquier acontecimiento mediático para propagar malware y otros fraudes como supuestos sitios falsos que ofrecen servicio técnico (scam) para corregir el problema de CrowdStrike u otro incidente, etc.
Por esta razón, nunca se deben seguir vínculos sospechosos y en caso de tener un problema con un software, se debe acudir directamente a los canales oficiales.
Te invitamos a leer otros artículos de ciberseguridad en nuestro blog.
IoC
| Hash | Nombre del archivo | Malware |
| FEF212EC979F2FE2F48641160AADEB86B83F7B35 | crowdstrike-hotfix.zip | Rugmi |
| 5B2F56953B3C925693386CAE5974251479F03928 | CrowdStrike Updater.exe, CrowdStrike.exe | Wiper genérico |
- Share:
