Récemment, CrowdStrike a été utilisé comme appât pour inciter les utilisateurs de Windows à télécharger et exécuter le célèbre malware de vol d’informations, Lumma. Cette découverte a été faite par l’équipe de renseignement sur les menaces de la société de sécurité, peu après le fiasco lié à la mise à jour du capteur Falcon.
Les malwares de type infostealer, comme Lumma, explorent les machines infectées à la recherche d’informations sensibles stockées, telles que les identifiants de connexion et les historiques de navigation. Ces données sont ensuite discrètement exfiltrées vers les opérateurs du malware, qui les utilisent pour commettre des fraudes, des vols et d’autres crimes.
Plus précisément, ces informations volées permettent d’accéder illicitement aux comptes bancaires en ligne des victimes, à leurs portefeuilles de cryptomonnaies, ainsi qu’à leurs boîtes de réception d’e-mails, comptes de bureau à distance et autres applications nécessitant des identifiants valides. Cela rend ce type de malware particulièrement prisé par les cybercriminels.
Lumma est un stealer relativement populaire, en forte demande parmi les groupes de ransomware depuis 2022. Il fait également partie des infostealers que Mandiant a identifié comme ayant été utilisés par le gang criminel UNC5537 pour obtenir des identifiants, qui ont ensuite été utilisés pour infiltrer des environnements de stockage cloud Snowflake au printemps dernier.
Dans le cadre de la campagne de CrowdStrike, le timestamp de la version de Lumma « indique que l’acteur a très probablement construit l’échantillon pour distribution le jour suivant la mise à jour de contenu défectueuse du capteur Falcon de CrowdStrike », a noté la société de sécurité.
Le domaine crowdstrike-office365[.]com a été enregistré le 23 juillet, quelques jours après que la mise à jour défectueuse de CrowdStrike, survenue le 19 juillet, ait provoqué des pannes sur 8,5 millions de machines Windows. Il est supposé que le groupe derrière ce domaine est lié à des attaques d’ingénierie sociale antérieures en juin, qui avaient également distribué le malware Lumma.
Lors de ces campagnes antérieures de vol d’informations, les malfaiteurs avaient envoyé des e-mails de phishing, suivis d’appels téléphoniques se faisant passer pour des employés du support Microsoft Teams.
« Sur la base de l’infrastructure partagée entre les campagnes et de la cible apparente des réseaux d’entreprise, CrowdStrike Intelligence évalue avec une confiance modérée que l’activité est probablement attribuable au même acteur de menace non nommé », rapportent les équipes de CrowdStrike.
- Les cybercriminels exploitent les domaines de typosquatting en pleine crise chez CrowdStrike
- Les cybercriminels tirent rapidement parti du chaos causé par CrowdStrike
- Les mois et jours avant et après le vendredi fatal de CrowdStrike
- La mise à jour catastrophique de Windows par CrowdStrike pourrait prendre des semaines à être corrigée, craignent les administrateurs IT
Le faux domaine de CrowdStrike tente de tromper les utilisateurs en les incitant à cliquer sur un fichier .zip prétendument destiné à réparer une boucle de démarrage causée par la mise à jour défectueuse du capteur. L’archive contient un fichier d’installation Microsoft, WidowsSystem-update[.]msi, qui est en réalité un chargeur de malware.
Une fois que le chargeur est exécuté par la victime, il déploie et exécute un fichier RAR auto-extractible, plenrco[.]exe, qui contient un installateur NSIS avec le nom de fichier SymposiumTaiwan[.]exe. Ce fichier inclut des fragments de code d’un exécutable AutoIt légitime, fortement obfusqué, et se terminera si le système de la victime exécute un logiciel antivirus.
Cependant, si tout semble en ordre et que le malware peut continuer à opérer sans être détecté, le chargeur AutoIt exécute l’un des deux shellcodes, selon qu’il s’agit d’un système 32 ou 64 bits, et déploie finalement le malware Lumma.
Quelques heures après que la mise à jour défectueuse du capteur de CrowdStrike ait plongé les machines Windows dans une spirale d’écran bleu, des rapports ont fait état d’e-mails frauduleux utilisant cette panne comme appât, prétendant provenir du support ou de la sécurité de CrowdStrike. La société de sécurité affirme que 97 % des systèmes affectés sont désormais de nouveau opérationnels.
