Dopo l’aggiornamento difettoso di CrowdStrike chiamato Falcon che ha causato l’arresto di milioni di dispositivi Windows, i criminali informatici hanno rapidamente approfittato della situazione, cercando di colpire i malcapitati con i loro piani semplici, ma estremamente dannosi. A quanto pare è stato spacciato per “soluzione” un falso manuale di recupero il quale, in realtà, viene utilizzato per distribuire un nuovo malware denominato Daolpu.
Esso si diffonde attraverso email di phishing che si presentano come istruzioni per riparare i dispositivi colpiti dall’aggiornamento. Il documento allegato contiene macro dannose che installano il malware sui sistemi compromessi, consentendogli di raccogliere credenziali di accesso, cronologia del browser e cookie di autenticazione dai browser Chrome, Edge, Firefox e altri browser specifici.
I dati rubati vengono temporaneamente salvati in “%TMP%\result.txt” prima di venir rimossi una volta inviati ai server dei cybercriminali. Per provare a contrastare il tutto, CrowdStrike ha emesso un avviso sul nuovo malware Daolpu, includendo un YARA Rule per rilevare gli artefici dell’attacco e un elenco degli indicatori di compromissione. La società esorta i propri clienti a seguire solo i consigli presenti sul sito ufficiale o altre fonti affidabili e a verificare l’autenticità delle comunicazioni.
I disagi di CrowdStrike sono solo dei pretesti
Quando si tratta di situazioni caotiche come quella causata dall’aggiornamento CrowdStrike, purtroppo i cybercriminali gongolano perché riescono ad approfittare delle disattenzioni e delle vulnerabilità degli utenti, nonché della loro fretta di risolvere, in caso di problematiche che devono essere arginate il prima possibile. La creazione di Daolpu è soltanto l’ultimo esempio di casi simili: poteva esserci qualsiasi altra azienda di cybersicurezza (e non) al posto di CrowdStrike, il risultato non cambiava.
Teniamo a precisare che, oltre a questo finto manuale di riparazione, l’aumento di attacchi informatici include anche altre minacce, come data wiper diffusi dal gruppo di hacktivisti pro-Iraniano ‘Handala’ e HijackLoader che distribuisce Remcos RAT mascherati da hotfix ufficiali. Inoltre, si è registrato un incremento nei tentativi di phishing che impersonano rappresentanti dell’azienda protagonista di tutti questi problemi per distribuire malware, insieme a un notevole sforzo per registrare nuovi domini al fine di condurre queste campagne dannose.
La situazione causata dall’aggiornamento difettoso di CrowdStrike non è destinata a risolversi rapidamente, e si prevede che i tentativi di sfruttamento da parte dei criminali informatici continueranno a lungo. Per le ultime raccomandazioni ufficiali sulla risoluzione, si consiglia di monitorare la pagina web ufficiale dell’azienda di sicurezza informatica dedicata al problema, o utilizzare lo strumento fornito da Windows per impedire il presentarsi di altri problemi.
