Alerte aux arnaques! Les cybercriminels exploitent la panne de CrowdStrike avec des mises à jour de correctifs contenant des logiciels malveillants
À la suite de la panne de CrowdStrike la semaine dernière , les cybercriminels ont saisi l'occasion pour lancer une vague d'attaques d'ingénierie sociale visant les clients du fournisseur de sécurité . Cet événement, qui a perturbé le transport aérien, fermé des magasins et affecté des installations médicales, a été suivi d'une recrudescence des activités de phishing signalées par les agences nationales de cybersécurité aux États-Unis, au Royaume-Uni, au Canada et en Australie.
Selon Luigi Lenguito, PDG de BforeAI, ces attaques post-CrowdStrike sont nettement plus prolifiques et ciblées que les attaques typiques qui suivent des événements d'actualité majeurs. "Lors de l'attaque contre Trump la semaine dernière, nous avons constaté une augmentation le premier jour de 200 cybermenaces liées, qui s'est ensuite stabilisée à 40-50 par jour", a noté Lenguito. "Ici, nous assistons à un pic trois fois plus important. Nous constatons environ 150 à 300 attaques par jour, ce qui n'est pas le volume normal pour les attaques liées à l'actualité."
Profil d'une arnaque sur le thème de CrowdStrike
La stratégie derrière ces escroqueries est claire : les utilisateurs de nombreuses grandes entreprises étant incapables de se connecter aux services de CrowdStrike, les cybercriminels exploitent cette vulnérabilité. Le caractère ciblé de ces attaques les différencie des autres escroqueries thématiques, comme celles liées aux événements politiques. Les victimes sont souvent plus compétentes techniquement et mieux informées en matière de cybersécurité.
Les attaquants se sont fait passer pour CrowdStrike, le support technique associé ou même des sociétés concurrentes proposant leurs propres « correctifs ». Des domaines de phishing et de typosquatting tels que crowdstrikefix[.]com, crowdstrikeupdate[.]com et www.microsoftcrowdstrike[.]com ont vu le jour, avec plus de 2 000 domaines de ce type identifiés.
Ces domaines sont utilisés pour distribuer des logiciels malveillants, notamment un fichier ZIP se présentant comme un correctif contenant HijackLoader (également connu sous le nom d'IDAT Loader), qui charge ensuite le RemCos RAT. Ce fichier a été signalé pour la première fois au Mexique et incluait des noms de fichiers en espagnol, suggérant une concentration sur les clients CrowdStrike en Amérique latine.
Dans un autre cas, les attaquants ont envoyé un e-mail de phishing avec une pièce jointe PDF mal conçue. Le PDF contenait un lien pour télécharger un fichier ZIP avec un exécutable. Lors de son lancement, l'exécutable a demandé l'autorisation d'installer une mise à jour, qui s'est avérée être un essuie-glace. Le groupe hacktiviste pro-Hamas "Handala" a revendiqué la responsabilité, affirmant que "des dizaines" d'organisations israéliennes avaient perdu plusieurs téraoctets de données.
Se protéger contre ces menaces
Les organisations peuvent se protéger en mettant en œuvre des listes de blocage, en utilisant des outils DNS de protection et en s'assurant qu'elles sollicitent uniquement l'assistance du site Web officiel et des canaux du service client de CrowdStrike . Lenguito suggère que la recrudescence des attaques n’en est qu’à ses débuts mais qu’elle devrait s’atténuer au cours des prochaines semaines. "En général, ces campagnes durent deux à trois semaines", a-t-il observé.
En restant vigilantes et en s'appuyant sur des sources vérifiées pour l'assistance technique, les organisations peuvent atténuer les risques posés par ces attaques de phishing sophistiquées et ciblées.