El pasado viernes, la compañía de ciberseguridad CrowdStrike lanzó una actualización de contenido para su sensor Falcon, destinada a sistemas operativos Windows. Desafortunadamente, esta actualización contenía un error lógico que producía la aparición de la temida 'pantalla azul de la muerte' en los equipos en que se instalaba, dejando a numerosos sistemas inoperables.

Pues bien, en medio de la tormenta generada por la metedura de pata de CrowdStrike, diversos cibercriminales han aprovechado la oportunidad para lanzar ataques dirigidos contra empresas hispanohablantes, mientras buscan explotar la urgencia de las empresas por solucionar el problema.

Lo han hecho distribuyendo un archivo ZIP malicioso denominado "crowdstrike-hotfix.zip". Este archivo, cargado por un remitente radicado en México, contenía instrucciones en español, indicando claramente que la campaña estaba dirigida a clientes de CrowdStrike en América Latina.

En Genbeta

En China se han salvado de la caída masiva de CrowdStrike por una razón: su independencia tecnológica

Así funciona el ataque

El primer paso del proceso de infección consistía en seguir dichas instrucciones, en las que se pedía al usuario que ejecutara 'Setup.exe', uno de los archivos contenidos en el ZIP (junto a 'instrucciones.txt'), para iniciar la instalación del parche fraudulento.

En realidad, dicho EXE no ejecutaba sino HijackLoader, un cargador de malware; es decir, un software sin efectos negativos directos, cuyo única misión radica en descargar e instalar el malware propiamente dicho, en este caso Remcos RAT, una herramienta de acceso remoto, …