Falsos exploits zero-day PoC no GitHub disseminam malware para Windows e Linux
14 de Junho de 2023

Hackers estão se passando por pesquisadores em segurança cibernética no Twitter e no GitHub para publicar falsos exploits de prova de conceito (PoC) para vulnerabilidades zero-day que infectam o Windows e o Linux com malware.

Esses exploits maliciosos são promovidos por supostos pesquisadores de uma empresa de segurança cibernética falsa chamada 'High Sierra Cyber Security', que promove os repositórios do GitHub no Twitter, provavelmente para atingir pesquisadores e empresas envolvidas em pesquisas de vulnerabilidades.

Os repositórios parecem legítimos, e os usuários que os mantêm se passam por verdadeiros pesquisadores de segurança da Rapid7 e outras empresas de segurança, até mesmo usando suas fotos de perfil.

As mesmas pessoas mantêm contas no Twitter para ajudar a dar legitimidade à sua pesquisa e aos repositórios de código, bem como atrair vítimas da plataforma de mídia social.

Essa campanha foi descoberta pelo VulnCheck, que relata que está em andamento desde pelo menos maio de 2023, promovendo supostos exploits para falhas zero-day em softwares populares como Chrome, Discord, Signal, WhatsApp e Microsoft Exchange.

Em todos os casos, os repositórios maliciosos hospedam um script Python ('poc.py') que age como um downloader de malware para sistemas Linux e Windows.

O script baixa um arquivo ZIP de uma URL externa para o computador da vítima, dependendo do sistema operacional, com usuários do Linux baixando 'cveslinux.zip' e usuários do Windows recebendo 'cveswindows.zip'.

O malware é salvo nas pastas %Temp% do Windows ou /home/username/.local/share do Linux, extraído e executado.

O VulnCheck relata que o binário do Windows contido no ZIP ('cves_windows.exe') é detectado por mais de 60% dos motores antivírus do VirusTotal.

O binário do Linux ('cves_linux') é muito mais furtivo, detectado apenas por três scanners.

Não está claro que tipo de malware é instalado, mas ambos os executáveis instalam um cliente TOR, e a versão do Windows tem algumas detecções como um trojan roubador de senhas.

Embora o sucesso dessa campanha não esteja claro, o VulnCheck observa que os atores da ameaça parecem ser persistentes e criam novas contas e repositórios quando os existentes são relatados e removidos.

Atualmente, esses sete repositórios do GitHub, que estão disponíveis no momento da escrita, devem ser evitados.

Além disso, essas contas do Twitter pertencem a impostores e não devem ser confiáveis.

Pesquisadores de segurança e entusiastas da segurança cibernética devem ter cuidado ao baixar scripts de repositórios desconhecidos, pois a imitação é sempre possível.

O grupo de hackers patrocinado pelo estado norte-coreano Lazarus realizou uma campanha semelhante em janeiro de 2021, quando criaram falsas personas de pesquisadores de vulnerabilidades nas redes sociais para atingir pesquisadores com malware e zero-days.

Mais tarde naquele ano, eles visaram pesquisadores com versões com trojan do software de engenharia reversa IDA Pro para instalar cavalos de Troia de acesso remoto.

Mais recentemente, acadêmicos encontraram milhares de repositórios no GitHub oferecendo falsos exploits de prova de conceito para várias vulnerabilidades, alguns deles infectando usuários com malware, PowerShell malicioso, downloaders de ladrões de informações ofuscados, droppers Cobalt Strike e mais.

Ao visar a comunidade de pesquisa de vulnerabilidades e segurança cibernética, os atores da ameaça podem obter acesso à pesquisa de vulnerabilidades que pode ser usada em seus próprios ataques.

Pior ainda, em muitos casos, o malware pode fornecer acesso inicial à rede de uma empresa de segurança cibernética, levando a mais roubos de dados e ataques de extorsão.

Como as empresas de segurança cibernética tendem a ter informações sensíveis sobre clientes, como avaliações de vulnerabilidades, credenciais de acesso remoto ou até mesmo vulnerabilidades zero-day não divulgadas, esse tipo de acesso pode ser muito valioso para um ator de ameaça.

Portanto, ao baixar código do GitHub, é imperativo que todo o código seja examinado quanto ao comportamento malicioso.

Neste caso, o download e a execução de malware são facilmente visíveis nos PoCs, mas esse pode não ser o caso em todas as situações, onde os atores da ameaça podem ofuscar o código malicioso.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...