本周四,网络安全公司CrowdStrike发布了一个有问题的Windows版FalconSensor代理更新,导致包括银行、航空公司和媒体公司在内的多家机构的日常运营受到严重干扰。该问题更新导致近850万台Windows电脑连续重启,并出现错误代码0x50或0x7E的蓝屏死机(BSOD)错误。
此后,CrowdStrike和微软分别为受影响的客户提供了恢复PC的指导。
在全球个人和机构争相修复受CrowdStrike影响的PC时,网络犯罪分子却在利用这一危急情况。CrowdStrike注意到,网络犯罪分子正在分发名为crowdstrike-hotfix.zip的恶意ZIP压缩包(SHA256哈希值:c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2)。
crowdstrike-hotfix.zip压缩包是完完全全的恶意软件,包含可加载RemCos的HijackLoader载荷。CrowdStrike认为,ZIP压缩包中的西班牙文文件名和说明表明,该活动的目标可能是拉丁美洲(LATAM)的CrowdStrike客户。
除恶意软件活动外,网络犯罪分子还针对CrowdStrike客户开展网络钓鱼攻击。他们冒充CrowdStrike支持人员发送钓鱼电子邮件,在电话中冒充CrowdStrike员工,冒充独立研究人员提供修复见解,甚至出售脚本宣称可以自动恢复CrowdStrike更新问题。
最近为网络钓鱼活动创建了以下恶意域:
crowdstrike.phpartners[.]orgcrowdstrike0day[.]comcrowdstrikebluescreen[.]comcrowdstrike-bsod[.]comcrowdstrikeupdate[.]comcrowdstrikebsod[.]comwww.crowdstrike0day[.]comwww.fix-crowdstrike-bsod[.]comcrowdstrikeoutage[.]infowww.microsoftcrowdstrike[.]comcrowdstrikeodayl[.]comcrowdstrike[.]buzzwww.crowdstriketoken[.]comwww.crowdstrikefix[.]comfix-crowdstrike-apocalypse[.]commicrosoftcrowdstrike[.]comcrowdstrikedoomsday[.]comcrowdstrikedown[.]comwhatiscrowdstrike[.]comcrowdstrike-helpdesk[.]comcrowdstrikefix[.]comfix-crowdstrike-bsod[.]comcrowdstrikeedown[.]sitecrowdstuck[.]orgcrowdfalcon-immed-update[.]comcrowdstrikeetoken[.]comcrowdstrikeclaim[.]comcrowdstrikeblueteam[.]comcrowdstrikefix[.]zipcrowdstrikeereport[.]com
CrowdStrike建议客户仅通过官方渠道与CrowdStrike代表联系,并坚持使用CrowdStrike和微软提供的技术指导。微软最近还更新了他们的指南,提供了一种涉及恢复驱动器的自动方法。
虽然CrowdStrike和微软已努力减轻直接损失,但持续不断的网络钓鱼和恶意软件活动凸显了网络犯罪分子利用混乱局面的顽固性。
相关文章:
微软发布恢复工具帮助修复受CrowdStrike问题影响的Windows计算机
CrowdStrike为应对Windows集体蓝屏事故上线问题解决指导中心
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】