在上周五因CrowdStrike更新BUG導(dǎo)致全球Windows系統(tǒng)電腦出現(xiàn)大范圍“藍(lán)屏”后，該公司發(fā)出警告稱，一些網(wǎng)絡(luò)犯罪分子開始利用虛假的CrowdStrike更新來傳播惡意軟件。

7月20日（周六），網(wǎng)絡(luò)安全研究人員 g0njxa 首次報告了針對 BBVA 銀行客戶的惡意軟件活動，該活動以虛假 CrowdStrike 修補程序更新的形式安裝Remcos RAT惡意軟件。

在該攻擊鏈中，虛假修補程序通過名為portalintranetgrupobbva的釣魚網(wǎng)站傳播，并偽裝成 BBVA Intranet 門戶。涉及分發(fā)的名為“crowdstrike-hotfix.zip”的 ZIP 存檔文件中包含一個名為 Hijack Loader（又名 DOILoader 或 IDAT Loader）的惡意軟件加載程序，該加載程序反過來啟動 Remcos RAT 有效載荷。存檔文件還包括一個文本文件 （“instrucciones.txt”），其中包含西班牙語說明，敦促受害者運行可執(zhí)行文件以從問題中恢復(fù)。

偽裝成 CrowdStrike修補程序的惡意軟件加載程序

而在另一起事件中，親伊朗的黑客組織Handala冒充CrowdStrike官方郵件，給以色列公司假裝創(chuàng)建讓W(xué)indows系統(tǒng)重新運行的工具，但實際上是在分發(fā)數(shù)據(jù)擦除器。

黑客組織Handala 送的冒充CrowdStrike的網(wǎng)絡(luò)釣魚電子郵件

這些電子郵件包括一份虛假更新的PDF說明，以及從文件托管服務(wù)下載惡意ZIP存檔的鏈接。此ZIP文件包含一個名為“Crowdstrike.exe”的可執(zhí)行文件，該文件一旦執(zhí)行，數(shù)據(jù)擦除器將被提取到 %Temp% 下的文件夾，并啟動執(zhí)行數(shù)據(jù)擦除操作。

CrowdStrike首席執(zhí)行官George Kurtz提醒廣大企業(yè)及用戶，要保持警惕，確保是通過真正的官方渠道來獲得更新并解決問題。