全球IT大故障：黑客如何趁机捕鱼

主要要点

一场因CrowdStrike Falcon更新引起的全球性IT故障导致850万台Windows机器受到影响，并被威胁者迅速利用进行诈骗、数据窃取和恶意软体部署。故障突显了企业的安全漏洞，以及网络犯罪分子在灾难后的无情机会主义。威胁者使用假冒CrowdStrike更新和钓鱼邮件等手段，试图从受影响的用户身上获利。

这场由CrowdStrike Falcon更新错误所引发的全球IT大故障，不仅影响了大约850万台Windows机器，还让无数的网络犯罪分子变本加厉，迅速利用这一局势进行各种恶意活动。这一事件显示了企业在安全性方面的重大缺陷，并暴露了黑客在全球危机中的诈骗能力。以下是五个黑客快速利用CrowdStrike故障的例子：

1 许多与CrowdStrike相关的钓鱼域名被注册

根据报导，在CrowdStrike事件后不久，就出现了几个与CrowdStrike和“蓝屏死机”相关的可疑域名，如“crowdstrikebluescreen[]com”和“crowdstrikefix[]com”，这些域名在故障发生几小时内就被注册。

clash软件可疑域名注册时间crowdstrikebluescreen[]com事件后几小时crowdstrikefix[]com事件后几小时

多家安全机构，包括SentinelOne与Bolster也发现了数十个恶意域名。Bolster的CheckPhish URL扫描平台在该事件后立刻检测到恶意网站的上升。

Bolster的研究副总裁Abhilash Garimella表示：“在最初的24小时内，超过40个针对CrowdStrike用户的拼写域名被添加到CheckPhish网站。”这些网站上可能会出现各种诈骗，包括向用户索取虚假的BSOD修复费用，或引导他们与假冒的CrowdStrike客服人员进行联系。

此外，还有一些诈骗针对了用户在事件后无法访问银行账户或需重新安排航班等问题，根据McAfee。CrowdStrike也在其网站上发布了警告，提醒用户对来自其公司或微软的未经请求的通讯保持高度怀疑。

2 RemCos RAT通过“CrowdStrike热修复”ZIP文件扩散

在另一份于周六发布的警告中，CrowdStrike指出，威胁者正在分发一个名为“crowdstrikehotfixzip”的ZIP文件，该文件将导致RemCos远程访问木马RAT的感染。

此次攻击主要针对拉丁美洲的CrowdStrike客户。该ZIP文件附有西班牙语说明，指示用户运行一个可执行文件来应用所谓的“热修复”以解决CrowdStrike问题。实际上，该文件执行了HijackLoader恶意程序，并随后从攻击者的命令控制伺服器安装和执行RemCos RAT。

RemCos RAT自2016年以来便存在，作为一种恶意软体即服务MaaS，可以在感染设备上建立后门持久性，使攻击者可以监控设备、将数据外泄回C2伺服器，并可能加载其他恶意软体。

用户如果仍在