Pesquisadores de segurança cibernética e atores de ameaças são alvo de um falso exploit de prova de conceito (PoC)
CVE-2023-35829
que instala um malware stealer de senhas Linux.
Os analistas da Uptycs descobriram o PoC mal-intencionado durante suas varreduras de rotina, quando sistemas de detecção sinalizaram irregularidades, como conexões de rede inesperadas, tentativas de acesso não autorizado ao sistema e transferências de dados atípicas.
Três repositórios foram encontrados hospedando o exploit falso do PoC, com dois removidos do GitHub e o restante ainda ativo.
A Uptycs relata que o PoC foi amplamente compartilhado entre os membros da comunidade de pesquisa de segurança, portanto, pode haver infecções em um número significativo de computadores.
O falso PoC alega ser um exploit para
CVE-2023-35829
, uma falha de uso após liberação de alta gravidade que impacta o kernel Linux antes de 6.3.2.
Na realidade, porém, o PoC é uma cópia de um exploit antigo e legítimo para outra vulnerabilidade do kernel Linux,
CVE-2022-34918
.
O código tira vantagem dos namespaces, um recurso do Linux que particiona recursos do kernel, para dar a impressão de que é um shell root, mesmo que seus privilégios ainda sejam limitados dentro do namespace do usuário.
Isso é feito para reforçar a ilusão de que o exploit é genuíno e está funcionando como esperado, dando aos atacantes mais tempo para se mover livremente no sistema comprometido.
Após a execução, o PoC também cria um arquivo 'kworker' e adiciona seu caminho ao arquivo '/etc/bashrc' para persistência.
A seguir, ele contata o servidor C2 do atacante para baixar e executar um script bash Linux de uma URL externa.
O script baixado acessa o arquivo '/etc/passwd' para roubar dados valiosos do sistema, modifica o '~/.ssh/authorized_keys' para conceder ao atacante acesso remoto não autorizado ao servidor e, eventualmente, usa o curl para exfiltrar dados via 'transfer.sh'.
O script rouba dados que incluem o nome de usuário, hostname e o conteúdo do diretório inicial da vítima.
No entanto, como a ameaça agora tem acesso remoto ao servidor, eles podem roubar o que quiserem manualmente.
O script bash disfarça suas operações como processos de nível de kernel para evitar detecção, pois os administradores de sistema tendem a confiar neles e, geralmente, não examinam essas entradas.
Os PoCs baixados da internet devem ser testados em ambientes isolados/caixas de areia como máquinas virtuais e, se possível, ter seu código inspecionado antes da execução.
Enviar binários ao VirusTotal também é uma maneira rápida e fácil de identificar um arquivo malicioso.
Usar falsos PoCs para visar pesquisadores e atores de ameaças com malware não é novidade.
No mês passado, analistas da VulnCheck descobriram uma campanha onde atores de ameaças se passavam por pesquisadores reais de empresas de segurança cibernética confiáveis para espalhar malware disfarçado de exploits zero-day para Chrome, MS Exchange e Discord.
Em Outubro de 2022, pesquisadores universitários publicaram um artigo técnico explicando que até 10.3% de todos os PoCs hospedados no GitHub podem ser malware.
Também se acredita que os hackers norte-coreanos da Lazarus são responsáveis por uma campanha de 2021 que usou as redes sociais para atingir pesquisadores de vulnerabilidades com falsos PoCs que instalaram backdoors.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...