Falso exploit de vulnerabilidade do Linux solta malware de roubo de dados
14 de Julho de 2023

Pesquisadores de segurança cibernética e atores de ameaças são alvo de um falso exploit de prova de conceito (PoC) CVE-2023-35829 que instala um malware stealer de senhas Linux.

Os analistas da Uptycs descobriram o PoC mal-intencionado durante suas varreduras de rotina, quando sistemas de detecção sinalizaram irregularidades, como conexões de rede inesperadas, tentativas de acesso não autorizado ao sistema e transferências de dados atípicas.

Três repositórios foram encontrados hospedando o exploit falso do PoC, com dois removidos do GitHub e o restante ainda ativo.

A Uptycs relata que o PoC foi amplamente compartilhado entre os membros da comunidade de pesquisa de segurança, portanto, pode haver infecções em um número significativo de computadores.

O falso PoC alega ser um exploit para  CVE-2023-35829 , uma falha de uso após liberação de alta gravidade que impacta o kernel Linux antes de 6.3.2.

Na realidade, porém, o PoC é uma cópia de um exploit antigo e legítimo para outra vulnerabilidade do kernel Linux, CVE-2022-34918 .

O código tira vantagem dos namespaces, um recurso do Linux que particiona recursos do kernel, para dar a impressão de que é um shell root, mesmo que seus privilégios ainda sejam limitados dentro do namespace do usuário.

Isso é feito para reforçar a ilusão de que o exploit é genuíno e está funcionando como esperado, dando aos atacantes mais tempo para se mover livremente no sistema comprometido.

Após a execução, o PoC também cria um arquivo 'kworker' e adiciona seu caminho ao arquivo '/etc/bashrc' para persistência.

A seguir, ele contata o servidor C2 do atacante para baixar e executar um script bash Linux de uma URL externa.

O script baixado acessa o arquivo '/etc/passwd' para roubar dados valiosos do sistema, modifica o '~/.ssh/authorized_keys' para conceder ao atacante acesso remoto não autorizado ao servidor e, eventualmente, usa o curl para exfiltrar dados via 'transfer.sh'.

O script rouba dados que incluem o nome de usuário, hostname e o conteúdo do diretório inicial da vítima.

No entanto, como a ameaça agora tem acesso remoto ao servidor, eles podem roubar o que quiserem manualmente.

O script bash disfarça suas operações como processos de nível de kernel para evitar detecção, pois os administradores de sistema tendem a confiar neles e, geralmente, não examinam essas entradas.

Os PoCs baixados da internet devem ser testados em ambientes isolados/caixas de areia como máquinas virtuais e, se possível, ter seu código inspecionado antes da execução.

Enviar binários ao VirusTotal também é uma maneira rápida e fácil de identificar um arquivo malicioso.

Usar falsos PoCs para visar pesquisadores e atores de ameaças com malware não é novidade.

No mês passado, analistas da VulnCheck descobriram uma campanha onde atores de ameaças se passavam por pesquisadores reais de empresas de segurança cibernética confiáveis para espalhar malware disfarçado de exploits zero-day para Chrome, MS Exchange e Discord.

Em Outubro de 2022, pesquisadores universitários publicaram um artigo técnico explicando que até 10.3% de todos os PoCs hospedados no GitHub podem ser malware.

Também se acredita que os hackers norte-coreanos da Lazarus são responsáveis por uma campanha de 2021 que usou as redes sociais para atingir pesquisadores de vulnerabilidades com falsos PoCs que instalaram backdoors.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...