חברת CrowdStrike מזהירה שמדריך שחזור מזויף לתיקון Windows מתקין למעשה נוזקה לגניבת מידע בשם Daolpu. מאז יום שישי, כאשר עדכון ה- CrowdStrike Falcon גרם להשבתות IT גלובליות, החלו פושעי סייבר לנצל את המצב כדי לדחוף הורדת נוזקות באמצעות תיקונים מזויפים. במסגרת מתקפת דיוג נשלחות הודעות המתיימרות להיות הוראות לשימוש בכלי שחזור חדש המתקן מערכות הפעלה של Windows שהושפעו מהתרסקויות האחרונות של CrowdStrike Falcon. ברגע שהכלי מופעל במערכת המחשוב, אוספת הנוזקה אישורי חשבון, היסטוריית דפדפן ועוגיות אימות המאוחסנות ב- Chrome, Edge, Firefox.
על פי ההערכות מופצת נוזקת Daolpu באמצעות מיילים של דיוג הנושאים קובץ מצורף של מסמך למדריך שחזור של מיקרוסופט, בשם 'New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows'. מסמך זה הינו למעשה עותק של עלון תמיכה של מיקרוסופט המספק הוראות לשימוש בכלי שחזור חדש של מיקרוסופט המתקן את מנהל ההתקן הבעייתי CrowdStrike במערכת ההפעלה Windows. עם זאת, מכיל מסמך זה פקודות מאקרו שכאשר הן מופעלות, מורד קובץ DDL מקודד ב- base64 ממשאב חיצוני. לאחר מכן, משתמשות פקודות המאקרו ב- Windows certutil כדי לפענח את ה- DLL המקודד base64, אשר מבוצע כדי להפעיל את נוזקת Daolpu במערכת המחשוב שנפרצה.
נוזקת Daolpu מפסיקה את כל תהליכי Chrome הפועלים ולאחר מכן מנסה לאסוף נתוני התחברות וקבצי Cookie שנשמרו ב- Chrome, Edge, Firefox ודפדפני Chromium אחרים. הנתונים הגנובים נשמרים באופן זמני ולאחר מכן נמחקים לאחר שליחתם חזרה לשרת C2 של פושעי הסייבר.
CrowdStrike קוראת ללקוחותיה לעקוב אחר עצות הנמצאות באתר החברה או במקורות מהימנים אחרים, רק לאחר אישור האותנטיות של שלהם.
למרבה הצער, נוזקת Daolpu היא רק הדוגמה האחרונה למאמץ רחב היקף של פושעי סייבר לנצל את המצב הכאוטי שנגרם על ידי עדכון Falcon של CrowdStrike בסוף השבוע שעבר, מה שגרם לכ- 8.5 מיליון מערכות Windows לקרוס ודורש מאמץ שחזור ידני: פעילות זדונית שדווחה תוך ניצול השבתת CrowdStrike Falcon כוללת מגבי נתונים המופצים על ידי קבוצת ההאקטיביסטים הפרו-איראניים Handala ו- HijackLoader המתקינים את Remcos RAT במסווה של תיקון חם ל- CrowdStrike. באופן כללי, חלה עלייה בולטת בניסיונות הדיוג בהתחזות לנציגי CrowdStrike כדי להפיץ נוזקות ומאמץ מאסיבי לרשום דומיינים חדשים כדי לנהל את מסעות הפרסום הזדוניים הללו.