A empresa de cibersegurança CrowdStrike, que está enfrentando críticas por causar interrupções globais de TI ao lançar uma atualização com falhas para dispositivos Windows, agora alerta que atores maliciosos estão explorando a situação para distribuir o malware Remcos RAT para seus clientes na América Latina, sob o disfarce de fornecer uma correção urgente. As cadeias de ataque envolvem a distribuição de um arquivo ZIP denominado “crowdstrike-hotfix.zip,” que contém um carregador de malware chamado Hijack Loader (também conhecido como DOILoader ou IDAT Loader), que, por sua vez, lança o payload do Remcos RAT.

As instruções dentro do arquivo ZIP indicam que esta campanha provavelmente está direcionada a clientes da CrowdStrike na América Latina (LATAM). Na sexta-feira, a CrowdStrike reconheceu que uma atualização de configuração de sensor rotineira lançada para sua plataforma Falcon para dispositivos Windows em 19 de julho às 04:09 UTC inadvertidamente acionou um erro lógico que resultou em uma Tela Azul (BSoD), tornando inúmeros sistemas inoperantes e colocando empresas em apuros.

Os atores maliciosos não perderam tempo em capitalizar sobre o caos criado pelo evento para configurar domínios de typosquatting que imitam a CrowdStrike e anunciar serviços para empresas afetadas pelo problema em troca de pagamento em criptomoedas. Os clientes afetados são recomendados a “garantir que estão se comunicando com representantes da CrowdStrike através de canais oficiais e seguir as orientações técnicas fornecidas pelas equipes de suporte da CrowdStrike.”

A Microsoft, que está colaborando com a CrowdStrike nos esforços de remediação, disse que a falha digital paralisou 8,5 milhões de dispositivos Windows globalmente, ou menos de um por cento de todas as máquinas Windows.