Incident CrowdStrike : une opportunité rapidement saisie par les cybercriminels

Tout événement majeur – son importance se mesurant notamment à son niveau de médiatisation – est propice à exploitation par des acteurs malveillants. 

Dès lors, cela n’aura pas surpris les spécialistes : des cybercriminels ont déjà commencé à essayer de tirer profit de l’incident majeur impliquant l’EDR de CrowdStrike depuis ce vendredi 19 juillet 2024. 

Dès ce jour-là, des noms de domaine trompeurs susceptibles d’être utilisés pour lancer des campagnes malveillantes surfant sur la couverture médiatique de l’incident ont fait leur apparition, à l’instar de crowdstrikebluescreen[.]com ou encore crowdstrike-bsod[.]com et crowdstrikeoutage[.]info. L’éditeur lui-même a jugé nécessaire de prévenir en publiant un billet de blog consacré au sujet.

Mais ce n’est pas tout : vendredi, a également commencé à circuler une archive nommée crowdstrike-hotfix.zip. Celle-ci contient des instructions en espagnol accompagnant un fichier exécutable malveillant.

Il s’agit d’un loader, un maliciel spécialisé dans le chargement d’une charge utile malveillante. Dans le cas présent, il a été observé chargeant le cheval de Troie RemCos, permettant de prendre le contrôle à distance des machines compromises. 

Dans un billet de blog, CrowdStrike « recommande aux organisations de s’assurer qu’elles communiquent avec les représentants de CrowdStrike par les canaux officiels et qu’elles respectent les conseils techniques fournis par les équipes de support de CrowdStrike ».