Em 24 de julho de 2024, a CrowdStrike Intelligence identificou uma tentativa de Spear Phishing não atribuída que distribuía um instalador falsificado do CrowdStrike Crash Reporter por meio de um site que imitava uma entidade alemã. O site foi registrado com um subdomínio e os artefatos indicam que o domínio provavelmente foi criado em 20 de julho de 2024, um dia após a identificação e correção de um problema em uma atualização de conteúdo do sensor Falcon da CrowdStrike que afetou sistemas operacionais Windows.

Após o usuário clicar no botão de download, o site utiliza JavaScript (JS) disfarçado como JQuery v3.7.1 para baixar e desobfuscar o instalador. O instalador contém a marca da CrowdStrike, localização em alemão e uma senha necessária para continuar a instalação do malware. Como o provedor do site é um registrador de domínios, a CrowdStrike Intelligence não pôde determinar quando o subdomínio foi criado. No entanto, o carimbo de data/hora da página da web indica que o instalador InnoSetup foi criado em 20 de julho de 2024 (“hotfix vom 20.07.2024”).

A página exibia a marca da empresa-alvo e da CrowdStrike, solicitando que a vítima baixasse o CrowdStrike Crash Reporter, uma ferramenta que não é desenvolvida ou distribuída oficialmente pela CrowdStrike.