Uma empresa de cibersegurança, a CrowdStrike, está enfrentando críticas por causar interrupções globais de TI ao lançar uma atualização defeituosa para dispositivos Windows. Agora, a empresa está alertando que atores maliciosos estão explorando a situação para distribuir o malware Remcos RAT para seus clientes na América Latina, sob o pretexto de fornecer um hotfix.

Os ataques envolvem a distribuição de um arquivo ZIP chamado “crowdstrike-hotfix.zip”, que contém um carregador de malware chamado Hijack Loader (também conhecido como DOILoader ou IDAT Loader) que, por sua vez, lança a carga útil do Remcos RAT.

O arquivo de arquivo também inclui um arquivo de texto (“instrucciones.txt”) com instruções em espanhol que instigam os alvos a executar um arquivo executável (“setup.exe”) para corrigir o problema.

A empresa afirmou que os nomes de arquivos e as instruções em espanhol no arquivo ZIP indicam que essa campanha provavelmente está mirando os clientes da CrowdStrike na América Latina, atribuindo a campanha a um grupo de criminosos virtuais suspeitos.

Os atores maliciosos já estão aproveitando o caos criado pelo evento para criar domínios de typosquatting que se fazem passar pela CrowdStrike e oferecer serviços às empresas afetadas em troca de um pagamento em criptomoeda.

Os clientes impactados são aconselhados a garantir que estejam se comunicando com representantes da CrowdStrike por meio de canais oficiais e seguir as orientações técnicas fornecidas pelas equipes de suporte da CrowdStrike.