吳明宜CrowdStrike 更新引發全球電腦大當機餘波盪漾,駭客趁機發送釣魚信件誘騙想排除問題的用戶下載惡意程式。
CrowdStrike 上周警告,自兩周前的全球大當機之後,德國客戶接到一家自稱是德國廠商寄發的信件,引誘用戶從網站下載 CrowdStrike 當機報告。一旦用戶點選了下載按鈕,網站就下載了一個.ZIP 壓縮檔。用戶解壓縮後,即釋出並執行冒充 JQuery v3.7.1 JavaScript 程式的安裝器。該安裝器含有 CrowdStrike logo 、德文訊息,還有密碼。使用者被要求輸入密碼「Backend-Server」後按下「繼續」,以便安裝惡意程式。
研究人員說,冒充 JQuery 檔顯然是為了躲避偵測;使用德語則顯示這波攻擊是瞄準 CrowdStrike 德國用戶而來。研究機構並發現,攻擊者使用了大量反鑑識手法,似乎是手法老練的高手。例如他們註冊了 it[.]com 網域的子網域,旨在防範網域註冊的歷史分析。他們也加密裝器的內容,只有密碼才能登入,是為了避免分析和追蹤。研究人員尚未能解開這惡意程式加以研究。
事實上,從兩周前以來,已經有各種打著 CrowdStrike 更新軟體名義的釣魚信件攻擊用戶,有的是冒充來自 crowdstrike-office365 網站的 Lumma,有的是包藏竊密程式 Connectio 的.ZIP 檔,有的則散發化名 outage fix(停機修補程式)的資料刪除和竊密程式。
CrowdStrike 公司上周說,CrowdStrike 更新事件當機的 Windows PC,有 97% 已經恢復運作。
上周微軟發佈初步報告說,估計全球有 850 萬台 Windows PC 受影響,但昨天微軟又說,這可能只是冰山一角,因為不是所有用戶都會回報,實質受害者可能更多。