Das fehlerhafte Update vom 19. Juli 2024, von dem weltweit über 8,5 Millionen Computer betroffen sind, ruft Cyberkriminelle auf den Plan. Diese versuchen aus der Situation Kapital zu schlagen und verbreiten in einer gezielten Kampagne dubiose Installationsprogramme, speziell an deutsche Kunden.
So konnte CrowdStrike am 24. Juli 2024 einen Spear-Phishing-Versuch identifizieren, bei dem ein gefälschter CrowdStrike Crash Reporter Installer über eine gefälschte Webseite verbreitet wurde. Diese Website gab sich als eine nicht näher benannte deutsche Organisation aus.
Das Counter Adversary Operations Team von CrowdStrike beschreibt die Situation wie folgt: "Nachdem der Benutzer auf den Download-Button geklickt hat, verwendet die Website ein JavaScript (JS), das sich als JQuery v3.7.1 ausgibt, um den Installer herunterzuladen und zu entschlüsseln", heißt es. "Der Installer enthält CrowdStrike-Branding, eine deutsche Lokalisierung und ein Passwort, das für die weitere Installation der Malware erforderlich ist."
Malware versteckt sich im ZIP-Archiv
Technisch gesehen enthält das heruntergeladene ZIP-Archiv aber auch ein schädliches Installationsprogramm InnoSetup. Um einer Erkennung zu entgehen, wurde der Code für die ausführbare Datei in eine JavaScript-Datei mit dem Namen "jquery-3.7.1.min.js" eingebettet.
Benutzer, die das gefälschte Installationsprogramm starten, werden dann aufgefordert, einen "Backend-Server" einzugeben, um fortzufahren.
Die Kampagne wird von CrowdStrike als sehr zielgerichtet eingestuft, da das Installationsprogramm passwortgeschützt ist und Eingaben erfordert, die wahrscheinlich nur den Zielpersonen bekannt sind.
Hacker sind keine Anfänger
Dass es sich bei den Hackern um erfahrene Kriminelle handeln könnte, vermutet das Sicherheitsunternehmen wiederum aus mehreren Gründen.
Zum einen scheint der Angreifer "sich der Sicherheitspraktiken (OPSEC) sehr bewusst zu sein, da er sich bei dieser Kampagne auf antiforensische Techniken konzentriert hat", so CrowdStrike.
Zweitens wurde "eine Subdomain unter der Domain it[.]com registriert, was eine historische Analyse der Details der Domainregistrierung verhindert". Darüber hinaus wurde der Inhalt des Installationsprogramms verschlüsselt und zusätzlich verhindert, dass weitere Aktivitäten ohne Passwort durchgeführt werden können.
Welle von Phishing-Angriffen droht
Dies ist nur ein Beispiel aus einer regelrechten Welle von Phishing-Angriffen. Hacker könnten in den kommenden Wochen weltweit verstärkt das CrowdStrike-Update-Problem ausnutzen, um ihre Stealer-Malware zu verbreiten.