Come se non bastassero i danni causati dal bug del tool Falcon Sensor di CrowdStrike, gli amministratori IT devono anche vigilare sugli attacchi informatici dei cybercriminali. La stessa software house texana aveva rilevato il malware RemCos. Attraverso email di phishing viene ora distribuito un wiper che cancella tutti i dati.
RAT, wiper e altri pericoli
In seguito al rilascio di un aggiornamento di Falcon Sensor, i computer Windows (almeno 8,5 milioni nel mondo) sono andati in crash, mostrando il famigerato Blue Screen of Death (BSOD) e bloccando numerosi servizi. CrowdStrike ha pubblicato le istruzioni per cancellare il file incriminato. Microsoft ha successivamente distribuito un tool USB che automatizza l’operazione.
Il CEO George Kuntz ha avvertito i clienti che l’incidente può essere sfruttato per effettuare attacchi informatici, consigliando di verificare attentamente le fonti. Diversi cybercriminali affermano di essere dipendenti di CrowdStrike che offrono supporto tecnico. Il National Cyber Security Center del Regno Unito ha rilevato un aumento delle email di phishing, tramite le quali viene pubblicizzato un presunto fix per il bug.
Viene invece distribuito un archivio ZIP che contiene HijackLoader. Quest’ultimo installa sul computer RemCos, un RAT (Remote Access Trojan) che consente l’accesso remoto e quindi la persistenza nel sistema. Altri clienti di CrowdStrike hanno ricevuto email con un PDF in allegato.
Oltre alle istruzioni per eseguire il fix fasullo, nel documento è presente un link ad un archivio ZIP ospitato su un servizio di file hosting. Al suo interno c’è l’eseguibile CrowdStrike.exe
. Non si tratta di un update ufficiale, ma di un wiper che cancella tutti i dati sul computer.