Специалисты CrowdStrike Intelligence обнаружили попытку "копьеметания", в результате которой поддельный установщик CrowdStrike Crash Reporter был доставлен через веб-сайт, выдающий себя за немецкую организацию.
Сайт был зарегистрирован 20 июля 2024 года, вскоре после выпуска обновления датчика CrowdStrike Falcon, и использовал JavaScript, замаскированный под JQuery, для загрузки и деобфускации программы установки. Эта программа установки, брендированная контентом CrowdStrike и локализованная на немецком языке, требовала ввода пароля для установки. Фишинговая страница ссылалась на ZIP-файл, содержащий вредоносную программу установки InnoSetup, и отображала брендинг CrowdStrike, чтобы казаться легитимной.
Вредоносный код JavaScript был замаскирован под настоящий код JQuery, чтобы избежать обнаружения. Когда пользователь нажимал на кнопку загрузки, сайт выполнял функцию для загрузки замаскированного переносного исполняемого файла. Программа установки, появившаяся 20 июля 2024 года, имела временную метку, совпадающую с обновлением сенсора, что говорит об использовании таймстампинга для избежания обнаружения.
Программа установки предлагала пользователям ввести определенный пароль «Backend-Server», который, вероятно, был известен только цели, что свидетельствует о целенаправленной атаке. Специалисты CrowdStrike Intelligence с высокой степенью уверенности предположили, что злоумышленники сосредоточились на немецкоговорящих клиентах, пострадавших от проблемы с датчиком Falcon, и использовали передовые методы защиты от криминализации, включая регистрацию поддоменов у легитимного регистратора и шифрование содержимого программы установки.
Indicators of Compromise
SHA256
- 41143b2e4bbb9279ba0bbb375748530cc4887cc965967e5c0cc9a39dc44937d6
- 80304da1e333ed581378797ad8b0b8d81a8ac5928b83423702f0de30f1616225
- 82ef869e8f7accde731f8c289f19436347a30af1d53c8f61bde5bac8bc91ad1a
- 99bb0f05fd135218a5c4b8cac42e58274086b543d001d7227c8f6a2b7722f425
- a7516a15e1857996373191795c79244c8f5c8deb1f17ba5dbadeac28e18ec1c7
