Siber suçlular, siber güvenlik firması CrowdStrike’ın son güncelleme hatasından yararlanarak Latin Amerika’daki müşterilerine Remcos RAT kötü amaçlı yazılımını dağıttılar.

Sorun, CrowdStrike’ın Windows cihazları için Falcon platformuna hatalı bir güncelleme göndermesiyle başladı. Bu, bir mantıksal işlem sorununa yol açarak devamında Mavi Ekran Hatası'na (BSoD) sebep oldu ve birçok sistemi kullanılamaz hale getirdi.

Olay, 19 Temmuz 2024'te saat 04:09 ve 05:27 UTC arasında çevrimiçi olan Falcon sensörünü Windows sürüm 7.11 ve üzeri çalıştıran müşterileri etkiledi. Kötü niyetli aktörler bu durumu hızla kullanarak “crowdstrike-hotfix.zip” adlı bir ZIP arşiv dosyası yaydılar. Bu dosya, Remcos RAT yükünü başlatan Hijack Loader (diğer adıyla DOILoader veya IDAT Loader) adlı bir kötü amaçlı yazılım yükleyicisi içeriyor. Arşiv dosyasında, kampanyanın Latin Amerika’daki CrowdStrike müşterilerini hedeflediğini göstermek için İspanyolca talimatların yer aldığı bir metin dosyası bulunuyor. Saldırganlar, CrowdStrike’ı taklit ederek etkilenen şirketlere zararlı yazılım sızdırdı ve başka bir sorun üzerinden kendi yarattıkları sorunu çözmek içinse kripto para karşılığında hizmet sunmayı teklif ediyorlar.

CrowdStrike, sorunu kabul etti ve müşterilerini resmi temsilcilerle iletişimde olmaları ve destek ekipleri tarafından sağlanan teknik yönlendirmeleri takip etmeleri konusunda uyardı. Şirket, sistem çökmesine neden olan mantık hatasını düzeltti ve benzer olayların önlenmesi için kapsamlı bir kök neden analizi yürütüyor.