Los cibercriminales han encontrado una nueva forma de engañar a los usuarios mediante un falso manual de reparación de CrowdStrike. Este engaño, cuidadosamente diseñado para parecer legítimo, está propagando un malware peligroso que roba información personal y sensible.
CrowdStrike ha emitido una advertencia sobre un manual de recuperación falso que en lugar de reparar dispositivos Windows, está instalando un nuevo malware llamado Daolpu. Este malware tiene la capacidad de robar información sensible de los usuarios, incluyendo credenciales de cuenta, historial del navegador y cookies de autenticación almacenadas en navegadores como Chrome, Edge y Firefox.
El problema comenzó cuando una actualización defectuosa de CrowdStrike Falcon, lanzada el viernes pasado, provocó cortes de TI a nivel mundial. Aprovechando el caos y la confusión generada por este incidente, actores maliciosos han lanzado una nueva campaña de correos electrónicos de phishing. Estos correos electrónicos pretenden ofrecer una solución a las fallas causadas por la actualización de CrowdStrike Falcon, proporcionando instrucciones sobre cómo utilizar una supuesta herramienta de recuperación para dispositivos Windows afectados.
Los correos electrónicos engañosos están diseñados para parecer auténticos, utilizando logotipos y lenguaje que imitan las comunicaciones oficiales de CrowdStrike. Sin embargo, en lugar de ofrecer una solución legítima, estos correos contienen enlaces y archivos que, al ser descargados e instalados, activan el malware Daolpu en el sistema del usuario.
Una vez activo, Daolpu comienza a recopilar información crítica del sistema infectado. Entre los datos que roba se incluyen credenciales de cuenta, que pueden ser utilizadas para acceder a servicios y cuentas personales; historial del navegador, que puede revelar patrones de comportamiento y preferencias del usuario; y cookies de autenticación, que facilitan el acceso a sitios web sin necesidad de iniciar sesión nuevamente.
Te podrá interesar leer: Error en CrowdStrike Permite a Hackers Distribuir Malware RAT Remcos
El Documento Falso y su Apariencia Legítima
Se cree que el malware Daolpu se propaga a través de correos electrónicos de phishing que contienen un documento adjunto disfrazado como un manual de recuperación de Microsoft, titulado 'New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows.docm.'
El documento adjunto es una copia cuidadosamente creada de un boletín de soporte de Microsoft. A simple vista, proporciona instrucciones detalladas sobre cómo utilizar una supuesta nueva herramienta de recuperación de Microsoft que promete automatizar la eliminación del controlador problemático de CrowdStrike de los dispositivos Windows. Esta presentación legítima busca ganar la confianza de los usuarios y hacer que habiliten las macros del documento, un paso crítico para la activación del malware.
Las macros en documentos son una característica poderosa que puede automatizar tareas repetitivas, pero también pueden ser explotadas por cibercriminales para ejecutar código malicioso. En este caso, el documento adjunto contiene macros que una vez habilitadas por el usuario, inician un proceso de descarga de malware. Las macros están diseñadas para descargar un archivo DLL codificado en base64 desde un recurso externo y colocarlo en el directorio '%TMP%' bajo el nombre 'mscorsvc.dll'.
Macros maliciosas en un archivo de Word que se aprovechan para instalar el malware Daolpu
Una vez que el documento malicioso es abierto y las macros son habilitadas, estas utilizan la herramienta certuil de Windows para decodificar la DLL que ha sido descargada en formato base64. Esta DLL, una vez decodificada y ejecutada, inicia el malware Daolpu en el dispositivo comprometido.
El malware Daolpu tiene un comportamiento agresivo y efectivo para robar datos. Primero, finaliza todos los procesos en ejecución de Google Chrome, y luego intenta recopilar datos de inicio de sesión y cookies guardadas no solo en Chrome, sino también en otros navegadores como Microsoft Edge, Firefox y diversos navegadores basados en Chromium.
CrowdStrike ha emitido un aviso sobre el malware Daolpu, proporcionando una regla YARA para ayudar a detectar los artefactos del ataque. Además, han listado varios indicadores de compromiso (IoC) que los administradores de sistemas pueden utilizar para identificar posibles infecciones.
CrowdStrike insta a sus clientes a seguir únicamente los consejos y directrices proporcionados en el sitio web oficial de la empresa o a través de otras fuentes confiables, siempre verificando la autenticidad de las comunicaciones para evitar caer en engaños similares.
Recomendaciones para los Usuarios
Para protegerse contra Daolpu y otras amenazas similares, los usuarios deben:
- Desconfiar de Correos Electrónicos No Solicitados: No abrir documentos adjuntos ni habilitar macros en documentos provenientes de fuentes desconocidas.
- Mantener Software de Seguridad Actualizado: Utilizar soluciones antivirus y antimalware robustas y mantenerlas actualizadas.
- Verificar Comunicaciones: Confirmar la autenticidad de las comunicaciones que pretenden ser de empresas reconocidas antes de seguir cualquier instrucción.
- Implementar Políticas de Seguridad: Desarrollar y seguir políticas de seguridad que incluyan la capacitación regular sobre phishing y otras amenazas cibernéticas.
Te podrá interesar leer: Advanced Email Security de Acronis: Seguridad de Correo Electrónico
Conclusión
El malware Daolpu representa una amenaza significativa, especialmente debido a su capacidad de robar información sensible de múltiples navegadores y su método de distribución a través de correos electrónicos de phishing. Mantenerse informado sobre las tácticas empleadas por los cibercriminales y seguir las recomendaciones de seguridad es crucial para protegerse contra esta y otras amenazas emergentes.