CrowdStrike: attenzione alle campagne malevole che sfruttano il down del 19 luglio

Come sempre, da eventi gravi nascono sempre a cascata altre numerosissime occasioni per gli hacker per lanciare offensive verso gli utenti del web. Anche il caso CrowdStrike, che ha tenuto in ballo milioni di persone in tutto il mondo nella lunga giornata del 19 luglio scorso, non è stato ovviamente da meno, portandosi dietro una coda lunga di campagne che sfruttano l’evento ed il panico da esso causato per trovare scuse per far breccia nei sistemi delle potenziali vittime.

Una di queste campagne è stata rilevata qualche giorno fa e prova a veicolare un malware chiamato Daolpu, che mira a rubare informazioni dai device sui quali è installato come cronologie, dati d’accesso degli account e quant’altro. Per diffonderlo, gli hacker hanno utilizzato una campagna di phishing nella quale si specifica che nell’allegato contenuto nella mail c’è un utilissimo manuale per rendere nuovamente operativi i sistemi dopo il blocco di CrowdStrike. Aprendo il file, un documento come quelli di Microsoft Word con standard Open XML, si troverà una mera copia del manuale che Microsoft ha rilasciato dopo il blocco generale dei sistemi, ma la contraffazione del documento cela il malware che si attiverà una volta abilitate le macro. Tramite l’installazione di quest’ultimo cesseranno tutti i processi in corso di tutti i browser che usano Chromium come protocollo e verranno rubati tutti i dati salvati all’interno di essi.

Questa non è che la primissima segnalazione di una campagna hacker che sfrutta un blocco totale dei sistemi dovuto a problemi che in poche ore sono diventati noti in tutto il mondo, ma sicuramente ne seguiranno altre. In questo specifico caso è sempre bene ricordare alcune buone pratiche per non cadere in trappole del genere. In primo luogo, nessuno distribuisce in modo casuale, specialmente senza nessuna richiesta precedente, manuali per la risoluzione di problemi del genere, inoltre è sempre bene verificare il mittente che sicuramente sarà un dominio contraffatto o totalmente scollegato dalla fonte. I manuali di aiuto nei casi come quello di CrowdStrike vengono eventualmente distribuiti dalle fonti ufficiali e sui loro portali, non via email, ma nel caso in cui si cadesse in una trappola simile è sempre bene ricordare che molte soluzioni antivirus e antispam attualmente sono in grado sia di contrassegnare le mail sospette che di bloccare l’esecuzione delle macro nei documenti allegati ai messaggi, cosa che nel caso di cui abbiamo parlato oggi salverebbe sicuramente una potenziale vittima. Queste situazioni ovviamente scindono da Daolpu e da qualsiasi altra minaccia ci sia all’orizzonte, ma si inserisce nel quadro più ampio della protezione personale ed eventualmente della propria azienda.

 

Fonte: 1