偽のCrowdStrike(クラウドストライク) アップデートがマルウェアを拡散
2024年7月19日 世界的にWindowsでブルースクリーン(BSoD)が表示され使用不可になっており、EDRのCrowdStrike(クラウドストライク)が原因とされました。その後7月20日(土)から偽のCrowdStrike(クラウドストライク) アップデートがマルウェアを拡散していると指摘しています。
ブルースクリーン(BSoD)の原因
EDRのCrowdStrike(クラウドストライク)のcsagent.sys に障害が発生し、多数のマシン (Windows 11、Windows 10) で同時に ブルースクリーン(BSoD)が発生。
CrowdStrike(クラウドストライク) の修正プログラムやアップデートを装ったマルウェア
AnyRun は、悪意のある攻撃者が CrowdStrike の事件を悪用して 外部からマルウェアをダウンロードさせるマルウェア「HijackLoader」を配信し始め、感染したシステムに リモート アクセス ツールをダウンロードさせたと報告しています。
被害者を騙してマルウェアをインストールさせるために、脅威アクターは、CrowdStrike(クラウドストライク) からの修正プログラムを配信することを約束して、HijackLoader ペイロードを WinRAR アーカイブに偽装しました。
また別の攻撃として
AnyRun は別の警告で、攻撃者が CrowdStrike からのアップデートを配信するという名目でデータを消去するツールであるデータ ワイパーも配布していると発表しました。
また「ファイルをゼロバイトで上書きしてシステムを破壊し、それを#Telegram で報告する」としています
標的型攻撃メールやフィッシングメールにも悪用される
イギリスの国家サイバーセキュリティセンターは同団体のサイトで
この障害に便乗して悪意のある行為者がこの状況を利用しようとしているため、この障害に言及したフィッシングの増加がすでに確認されています。
これは組織と個人の両方を狙ったものである可能性があります。
としており、
ブルースクリーン状態へ対処するためのアップデート情報やファイルを配布しマルウェアに感染させる活動に対して注意するよう警告しています。
関連記事
Windowsでブルースクリーンが表示され使用不可にCrowdStrike(クラウドストライク)が原因
偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導