Het geplaagde CrowdStrike waarschuwt voor een kwaadaardige handleiding die de rondte doet. Deze is zogenaamd bedoeld om systemen te herstellen die door de mislukte update van afgelopen vrijdag zijn getroffen, maar stuurt echter via malafide macro’s inloggegevens terug naar criminelen.
Op de website laat CrowdStrike weten dat het gaat om een eenvoudig Word-document. Daarin zitten macro’s die eenmaal ingeschakeld een stealer downloaden genaamd Daolpu. Deze steelt inloggegevens en cookies uit zowel Google Chrome als Mozilla Firefox en stuurt die vervolgens terug naar de aanvallers.
De handleiding lijkt op een officiële, bona fide handleiding van Microsoft met dezelfde naam. Die is als blogpost verschenen op de site van de techreus: ‘New Recovery Tool to help with CrowdStrike issue impacting Windows’. Dit is de betreffende blogpost die dus wél legitiem is.
Tips om besmetting op te sporen
In de blogpost deelt CrowdStrike details over het malafide document, inclusief de scripts die het uitvoert, locaties waar (tijdelijk) bestanden worden opgeslagen en andere ‘indicators of compromise’.
Zo kunnen admins zoeken naar het bestand results.txt in de %TMP%-omgevingsvariabele. Is het tekstbestand daar aanwezig, dan is het aannemelijk dat het systeem besmet is. CrowdStrike adviseert verder om alleen via officiële kanalen met vertegenwoordigers van het bedrijf te communiceren en alleen technische handleidingen te raadplegen die aantoonbaar van een betrouwbare bron komen.
Hackers en cybercriminelen hopen uit het update-debacle van CrowdStrike een slaatje te slaan. Volgens diverse security-analisten en nationale cybersecurityautoriteiten heeft het incident geleid tot een golf van phishing-aanvallen. Daarin krijgen bedrijven een legitiem lijkende hotfix voor het probleem voorgeschoteld. In werkelijkheid betreft dit vaak malafide scripts voor het installeren van remote access tools en datawipers.
Via LinkedIn laat het bedrijf weten dat het een nieuwe hersteltechniek test, maar daar zijn al sinds gisteren geen nieuwe updates over verschenen.
Lees meer: Neppe CrowdStrike-fixes verspreiden malware