Après la mise à jour défectueuse de l'antivirus CrowdStrike qui a provoqué le crash de millions d'ordinateurs Windows le 19 juillet 2024, des cybercriminels exploitent cette situation encore perturbée en distribuant des logiciels malveillants sous couvert de correctifs.
La panne massive qui a touché 8,5 millions de machines Windows vendredi 19 juillet 2024 dernier continue à faire des vagues. À peine 24 heures après l'incident, des pirates informatiques ont flairé l'opportunité et se sont mis à l'œuvre. Comme le prévenait la CISA, certains petits opportunistes se font passer pour CrowdStrike, l'entreprise à l'origine des écrans bleus autour du monde, et proposent de faux correctifs.
Au menu, de l'usurpation d'identité de la marque pour déployer Remcos RAT, une gomme maléfique qui efface littéralement toutes les données, mais aussi des tentatives de phishing par SMS ou e-mail. Ce plantage géant de CrowdStrike aura décidément beaucoup inspiré les hackers.
Une panne géante exploitée par des pirates sans scrupules
Comme le craignait la CISA, les hackers n'ont pas tardé à exploiter la situation. Leur arme de choix, un logiciel malveillant baptisé RemCos RAT. Ce petit bijou de malveillance se cache dans un faux correctif nommé « crowdstrike-hotfix.zip ». Une fois exécuté, celui-ci ouvre grand les portes de votre ordinateur aux pirates.
Si Remcos RAT vous rappelle quelque chose, c'est normal, il n'a rien d'original. On le trouvait déjà à infecter l'éditeur de PDF Foxit Software. Ce logiciel d'accès à distance (Remote Access Tool) permet aux hackers de prendre le contrôle total de votre machine. Ils peuvent alors voler vos données, espionner vos activités, ou même utiliser votre ordinateur pour mener d'autres attaques. Et bien sûr, Remcos RAT est conçu pour passer sous le radar des antivirus classiques.
Heureusement, CrowdStrike a senti le vent tourner et flairé la mauvaise affaire. « À la suite du problème de mise à jour du contenu, plusieurs domaines de typosquatting se faisant passer pour CrowdStrike ont été identifiés. Cette campagne marque le premier cas observé dans lequel un acteur malveillant a capitalisé sur le problème de contenu Falcon pour distribuer des fichiers malveillants », peut-on lire sur le site de l'entreprise.
CrowdStrike tire la sonnette d'alarme, Microsoft à la rescousse
CrowdStrike a aussitôt retroussé les manches de ses meilleurs experts. L'entreprise a rapidement averti ses clients. Le message est clair : méfiez-vous des communications non sollicitées se faisant passer pour CrowdStrike. La vraie entreprise ne vous demandera jamais d'installer un correctif par un lien suspect.
De son côté, Microsoft a sorti l'artillerie lourde pour réparer les dégâts causés par la mise à jour défectueuse. Le géant de Redmond a déployé un outil de récupération sous forme de clé USB bootable. Cet outil permet aux administrateurs informatiques de réparer rapidement les machines affectées, sans avoir à jongler avec des manipulations complexes en mode sans échec.
Pour les utilisateurs lambda, Microsoft a publié des instructions détaillées sur son portail d'assistance. Ces directives expliquent pas à pas comment éliminer le fichier problématique et remettre votre ordinateur sur pied. Attention cependant : ces méthodes officielles sont les seules à suivre. Toute autre solution proposée sur Internet est potentiellement dangereuse.
Clubic, de son côté, vous a donné la marche à suivre pour redémarrer votre ordinateur en toute sécurité ou supprimer manuellement le fichier défectueux. C'est la seule méthode fiable pour restaurer votre système sans risquer d'ouvrir la porte aux pirates.
Sources : Bleeping Computer, CrowdStrike