CrowdStrike alerta sobre ataques cibernéticos na América Latina após apagão
Por Murilo Tunholi |
A CrowdStrike — empresa de cibersegurança responsável pelo recente apagão cibernético global — emitiu um alerta, neste sábado (20), sobre possíveis ataques hacker direcionados a clientes da América Latina, incluindo Brasil.
- Clique e siga o Canaltech no WhatsApp
- Danos do apagão cibernético podem durar semanas, alertam especialistas
Segundo a companhia, criminosos estão invadindo computadores por meio de um arquivo disfarçado de reparo para o antivírus Falcon. Em uma publicação no blog oficial, a CrowdStrike disse que o malware chamado “crowdstrike-hotfix.zip” foi registrado em um serviço de monitoramento de ameaças localizado no México.
A empresa explicou o seguinte:
Em 19 de julho de 2024, foi identificado um problema presente em uma única atualização de conteúdo do sensor CrowdStrike Falcon® que afetava os sistemas operacionais Windows, e uma correção foi implantada. Desde então, a CrowdStrike Intelligence observou cibercriminosos aproveitando o evento para distribuir um arquivo ZIP malicioso chamado crowdstrike-hotfix.zip. O arquivo ZIP contém uma versão do malware HijackLoader que, quando executado, carrega o RemCos. Notavelmente, os nomes de arquivos e as instruções no arquivo ZIP em espanhol indicam que esta campanha provavelmente tem como alvo clientes da CrowdStrike baseados na América Latina (LATAM).
A companhia ainda recomendou aos clientes afetados pela falha de ontem que se comunicassem apenas por canais oficiais e seguissem as orientações técnicas fornecidas pelas equipes de suporte da CrowdStrike.
Ao comentar sobre o apagão cibernético, George Kurtz, fundador e CEO da CrowdStrike, também alertou sobre pessoas “mal intencionadas” que poderiam se aproveitar da interrupção nos sistemas de TI:
“Sabemos que adversários e maus atores tentarão explorar acontecimentos como este. Encorajo todos a permanecerem vigilantes e garantirem o envolvimento com representantes oficiais da CrowdStrike. Nosso blog e suporte técnico continuarão sendo os canais oficiais para as atualizações mais recentes”, comentou.
Arquivo ZIP contém malware sofisticado
De acordo com a CrowdStrike, o arquivo com o malware está sendo divulgado como uma solução automatizada para o problema causado pela atualização do antivírus Falcon. As instruções em espanhol pedem que os usuários executem um “Setup.exe” para iniciar a instalação do patch.
Ao ser executado, o Setup.exe injeta na máquina o malware HijackLoader. O programa é um carregador modular de vários estágios altamente focado em evitar detecções, de acordo com a empresa de cibersegurança.
Por fim, o HijackLoader é responsável por executar a carga útil final do RemCos, que estabelece conexão com um servidor remoto comando e controle. Desta forma, o invasor toma controle total sobre o computador infectado e pode executar diversos ataques, como roubo de dados.
Leia mais sobre o caso:
- Falha que derrubou serviços online não é ataque cibernético, diz CrowdStrike
- Apagão cibernético provoca caos em aeroportos do Brasil e do mundo
- Apagão: aeroportos atuam “à moda antiga” pelo mundo; veja relatos
- Bradesco, Next e mais: bancos relatam instabilidade após apagão cibernético
- Recuperação de alguns sistemas pode demorar, diz CEO da CrowdStrike após apagão
- "Feliz dia internacional da tela azul": apagão cibernético rende memes no X
Fonte: CrowdStrike.