小心“crowdstrike-hotfix.zip”！这个假文件会传播Remcos恶意软件，针对拉美CrowdStrike用户。不要下载它！了解如何防范网络钓鱼诈骗。

2024年7月19日，Windows操作系统的CrowdStrike Falcon®传感器更新出现失误，导致全球近期历史上最大的IT中断。尽管这是技术问题导致的，但这一事件为真正的威胁行为者利用这一情况打开了大门，引发了一波恶意活动，尤其是针对CrowdStrike的拉丁美洲(LATAM)客户。

CrowdStrike Intelligence报告了一个名为的欺骗性ZIP档案的分发，其中包含用于部署RemCos RAT（远程访问工具）的crowdstrike-hotfix.zip HijackLoader负载。

该ZIP文件包含西班牙语文件名和说明，表明这是针对LATAM用户的攻击。该文件最初由一名墨西哥提交者上传，他将其上传到在线恶意软件扫描服务。

攻击序列从执行Setup.exe开始，它使用DLL搜索顺序劫持来加载HijackLoader。HijackLoader被宣传为一种名为ASMCrypt的私人加密服务，擅长逃避检测。它执行最后的RemCos有效载荷，该载荷连接到213.5.130.58:433的命令和控制服务器，使攻击者能够控制受感染的系统。

美国网络防御局、英国国家网络安全中心和澳大利亚国家反诈骗中心均已发出警告，提醒人们警惕诈骗。这两项警告均可在此处和此处查看。

这些诈骗通常涉及钓鱼电子邮件、虚假支持电话和欺诈性补救服务。最佳做法是通过官方渠道直接联系企业，而不是回应未经请求的通信。

CrowdStrike建立了一个“补救和指导中心”来帮助受影响的人，而微软则提供了更新的支持指南。这两个组织都强调了核实通信的重要性，不要因为收到未经请求的消息而仓促采取行动。

为了应对这些威胁，必须遵循一些关键做法：保持警惕，防范潜在的网络钓鱼企图，验证通信的真实性，避免从不受信任的来源下载文件，并向有关部门报告任何可疑诈骗行为。