CrowdStrikeは、Windowsデバイスを修復するための偽のリカバリマニュアルが、Daolpuという新しい情報窃取マルウェアをインストールしていると警告している。
バグだらけのCrowdStrike Falconアップデートが世界的なIT障害を引き起こした金曜日以来、脅威行為者はすぐにこのニュースに乗じて、偽の修正プログラムを通じてマルウェアを配信し始めている。
最近のCrowdStrike Falconクラッシュの影響を受けたWindowsデバイスを修正する新しいリカバリツールの使用方法を説明するように見せかけたフィッシングメールを使った新しいキャンペーンが行われている。
いったんシステム上でアクティブになると、窃取者はChrome、Edge、Firefox、Cốc Cốcウェブブラウザに保存されているアカウント認証情報、ブラウザ履歴、認証クッキーを採取する。
Daolpuの拡散
Daolpuステラーは、Microsoftの回復マニュアルを装った「New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows.docm」という文書の添付ファイルを載せたフィッシングメールを介して拡散すると考えられている。

ソースはこちら:
この文書はマイクロソフトのサポート速報のコピーで、問題のある CrowdStrike ドライバを Windows デバイスから自動的に削除する新しい Microsoft リカバリツールの使用方法を説明しています。
しかし、この文書には、有効にすると、外部リソースから base64 エンコードされた DDL ファイルをダウンロードし、「% TMP%mscorsvc.dll」にドロップするマクロが含まれています。

ソースはこちら:
次に、マクロはWindows certutilを使用してbase64エンコードされたDLLをデコードし、このDLLを実行することで、侵害されたデバイス上でDaolpuステーラーを起動します。
Daolpuは実行中のChromeプロセスをすべて終了させ、Chrome、Edge、Firefox、その他のChromiumブラウザに保存されているログインデータやクッキーを収集しようとします。
Daolpuの分析によると、Daolpuは主にベトナムで使用されているウェブブラウザCốc Cốcmも標的にしており、このマルウェアの出所を示している可能性があります。
盗まれたデータは一時的に「%TMP%result.txt」に保存され、URL「http[:]//172.104.160[.]126:5000/Uploadss」を使って攻撃者のC2サーバーに送り返された後に消去される。
この新しいマルウェアに関するCrowdStrikeのアドバイザリには、攻撃のアーティファクトを検出するためのYARAルールが含まれており、関連する侵害の指標がリストアップされています。
CrowdStrikeは、同社の顧客に対し、通信の信憑性を確認した上で、同社のウェブサイトやその他の信頼できる情報源にあるアドバイスにのみ従うよう促している。
影響
残念ながら、Daolpuは、先週末のCrowdStrikeのFalconアップデートによって引き起こされた混乱した状況を利用したサイバー犯罪者による大規模な取り組みの最新の例に過ぎず、約850万台のWindowsシステムがクラッシュし、手作業による復旧作業が必要となった。
これまでに報告されたCrowdStrike Falconの機能停止に便乗した悪質な活動には、親イランのハッカー集団「Handala」によって拡散されたデータワイパーや、CrowdStrikeのホットフィックスを装ってRemcos RATをドロップするHijackLoaderなどがあります。
一般的に、マルウェアを配布するためにCrowdStrikeの代表者になりすますフィッシングの試みが顕著に増加しており、これらの悪意のあるキャンペーンを実施するために新しいドメインを登録する大規模な取り組みが行われています。
CrowdStrike からの最新の公式修正アドバイスについては、このウェブページをご覧ください。
マイクロソフトはまた、影響を受けた Windows システム用のカスタム復旧ツールをリリースし、復旧の迅速化を支援している。
CrowdStrike の Falcon アップデートの不具合はすぐに解消されるとは思われず、サイバー犯罪者による悪用の試みはしばらくの間、ハイペースで続くと思われる。

Comments