在上周五因CrowdStrike更新BUG導致全球Windows系統電腦出現大范圍“藍屏”后，該公司發出警告稱，一些網絡犯罪分子開始利用虛假的CrowdStrike更新來傳播惡意軟件。

7月20日（周六），網絡安全研究人員 g0njxa 首次報告了針對 BBVA 銀行客戶的惡意軟件活動，該活動以虛假 CrowdStrike 修補程序更新的形式安裝Remcos RAT惡意軟件。

在該攻擊鏈中，虛假修補程序通過名為portalintranetgrupobbva的釣魚網站傳播，并偽裝成 BBVA Intranet 門戶。涉及分發的名為“crowdstrike-hotfix.zip”的 ZIP 存檔文件中包含一個名為 Hijack Loader（又名 DOILoader 或 IDAT Loader）的惡意軟件加載程序，該加載程序反過來啟動 Remcos RAT 有效載荷。存檔文件還包括一個文本文件 （“instrucciones.txt”），其中包含西班牙語說明，敦促受害者運行可執行文件以從問題中恢復。

偽裝成 CrowdStrike修補程序的惡意軟件加載程序

而在另一起事件中，親伊朗的黑客組織Handala冒充CrowdStrike官方郵件，給以色列公司假裝創建讓Windows系統重新運行的工具，但實際上是在分發數據擦除器。

黑客組織Handala 送的冒充CrowdStrike的網絡釣魚電子郵件

這些電子郵件包括一份虛假更新的PDF說明，以及從文件托管服務下載惡意ZIP存檔的鏈接。此ZIP文件包含一個名為“Crowdstrike.exe”的可執行文件，該文件一旦執行，數據擦除器將被提取到 %Temp% 下的文件夾，并啟動執行數據擦除操作。

CrowdStrike首席執行官George Kurtz提醒廣大企業及用戶，要保持警惕，確保是通過真正的官方渠道來獲得更新并解決問題。