Molte aziende devono ancora ripristinare completamente i computer bloccati dal bug del software Falcon Sensor di CrowdStrike. I cybercriminali continuano quindi a distribuire fix fasulli che nascondono malware. La software house texana ha rilevato altri due infostealer che rubano i dati.
Daolpu e Connecio
La tecnica utilizzata dai cybercriminali è sempre quella del phishing. Nel primo caso viene inviata un’email con un documento allegato che descrive la procedura di ripristino pubblicata da Microsoft. Il file New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows.docm
è un documento Word contenente una macro.
Se eseguita, la macro scarica il file mscorsvc.dll
. La DLL, cifrata con Base64, viene quindi decifrata con l’utility certutil
e caricata in memoria. Si tratta in realtà dell’infostealer Daolpu che termina tutti i processi di Chrome e ruba cookie e credenziali di login da Chrome e Firefox. I dati vengono successivamente inviati ad un server remoto.
Ad un’altra email è invece allegato un archivio ZIP che dovrebbe contenere un aggiornamento di Falcon Sensor. L’eseguibile è in realtà un file RAR auto-estraente che esegue l’infostealer Connecio. Il malware raccoglie dati dal computer e dai browser.
CrowdStrike fornisce alcuni suggerimenti per limitare i rischi: scaricare gli update solo dai canali ufficiali della software house, verificare sempre la fonte e bloccare le connessioni da server SMTP sconosciuti.
Il Garante per la protezione dei dati personali ha ricevuto segnalazioni di data breach, quindi ha avviato accertamenti sulle conseguenze del blackout per verificare se sono stati compromessi i dati personali degli utenti che usano i servizi pubblici.