CrowdStrike memperingatkan bahwa manual pemulihan palsu untuk memperbaiki perangkat Windows memasang malware pencuri informasi baru yang disebut Daolpu.
Sejak Jumat, ketika pembaruan CrowdStrike Falcon yang bermasalah menyebabkan gangguan TI globalaktor ancaman dengan cepat mulai memanfaatkan berita untuk menyebarkan malware melalui perbaikan palsu.
Kampanye baru yang dilakukan melalui email phishing berpura-pura menjadi petunjuk tentang penggunaan Alat Pemulihan baru yang memperbaiki perangkat Windows yang terkena dampak kerusakan CrowdStrike Falcon baru-baru ini.
Setelah aktif di sistem, pencuri mengumpulkan kredensial akun, riwayat browser, dan cookie autentikasi yang disimpan di Chrome, Edge, Firefox, dan browser web Cốc Cốc.
Menyebarkan Daolpu
Pencuri Daolpu diyakini menyebar melalui email phishing yang disertai lampiran dokumen yang disamarkan sebagai manual pemulihan Microsoft, bernama ‘New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows.docm.’
Sumber: BleepingComputer Bahasa Indonesia:
Dokumen ini adalah salinan dari Buletin dukungan Microsoft yang menyediakan instruksi tentang penggunaan Alat Pemulihan Microsoft yang baru yang mengotomatiskan penghapusan driver CrowdStrike yang bermasalah dari perangkat Windows.
Namun, dokumen ini berisi makro yang, jika diaktifkan, akan mengunduh berkas DDL berkode base64 dari sumber eksternal dan meletakkannya di ‘%TMP%mscorsvc.dll.’
Sumber: BleepingComputer Bahasa Indonesia:
Berikutnya, makro menggunakan Windows certutil untuk mendekode DLL yang dikodekan base64, yang dieksekusi untuk meluncurkan pencuri Daolpu pada perangkat yang telah disusupi.
Daolpu menghentikan semua proses Chrome yang sedang berjalan lalu mencoba mengumpulkan data login dan cookie yang disimpan di Chrome, Edge, Firefox, dan peramban Chromium lainnya.
Analisis oleh BleepingComputer menunjukkan bahwa malware tersebut juga menargetkan Cốc Cốcm, peramban web yang terutama digunakan di Vietnam, yang mungkin menunjukkan asal malware tersebut.
Data yang dicuri disimpan sementara ke ‘%TMP%result.txt,’ dan kemudian dihapus setelah dikirim kembali ke penyerang di server C2 mereka menggunakan URL ‘http[:]//172.104.160[.]126:5000/Unggahan’.
Penasihat CrowdStrike tentang malware baru ini menyertakan aturan YARA untuk mendeteksi artefak serangan dan mencantumkan indikator kompromi yang terkait.
CrowdStrike menghimbau pelanggannya untuk hanya mengikuti saran yang ditemukan di situs web perusahaan atau sumber tepercaya lainnya setelah mengonfirmasi keaslian komunikasi mereka.
Kejatuhan
Sayangnya, Daolpu hanyalah contoh terbaru dari upaya skala besar para penjahat dunia maya untuk mengambil keuntungan dari situasi kacau yang disebabkan oleh pembaruan Falcon CrowdStrike akhir minggu lalu, yang menyebabkan sekitar 8,5 juta sistem Windows mogok dan memerlukan upaya pemulihan manual.
Aktivitas berbahaya yang dilaporkan sebelumnya memanfaatkan gangguan CrowdStrike Falcon termasuk penghapus data yang disebarkan oleh kelompok hacktivist pro-Iran ‘Handala’ dan HijackLoader yang menjatuhkan Remcos RAT yang disamarkan sebagai perbaikan terbaru CrowdStrike.
Secara umum, telah terjadi peningkatan nyata dalam upaya phishing yang menyamar sebagai perwakilan CrowdStrike untuk mendistribusikan malware dan upaya besar-besaran untuk mendaftarkan domain baru guna menjalankan kampanye jahat ini.
Untuk saran perbaikan resmi terbaru dari CrowdStrike, pantau halaman web iniyang diperbarui dengan rekomendasi resmi baru dari perusahaan.
Microsoft juga memiliki merilis alat pemulihan khusus untuk sistem Windows yang terkena dampak guna membantu mempercepat pemulihan.
Dampak dari pembaruan Falcon yang salah pada CrowdStrike diperkirakan tidak akan segera berakhir, dan upaya eksploitasi oleh penjahat dunia maya kemungkinan akan terus berlanjut dan berlanjut dengan kecepatan tinggi untuk sementara waktu.
