Um exploit proof-of-concept (PoC) enganoso para
CVE-2024-49113
(conhecido como "LDAPNightmare") no GitHub infecta usuários com malware do tipo infostealer, que exfiltra dados sensíveis para um servidor FTP externo.
A tática não é nova, visto que houve múltiplos casos documentados de ferramentas maliciosas disfarçadas como exploits PoC no GitHub.
No entanto, este caso, descoberto pela Trend Micro, destaca que os atores de ameaças continuam a usar a tática para enganar usuários desavisados a se infectarem com malware.
A Trend Micro relata que o repositório malicioso do GitHub contém um projeto que parece ter sido bifurcado do PoC legítimo do SafeBreach Labs para
CVE-2024-49113
, publicado em 1º de janeiro de 2025.
A falha é uma das duas que afetam o Protocolo de Acesso a Diretórios Leve do Windows (LDAP), que a Microsoft corrigiu em seu Patch Tuesday de dezembro de 2024, sendo o outro problema um crítico de execução remota de código (RCE) rastreado como CVE-2024-49112.
O post inicial do blog do SafeBreach sobre o PoC mencionou erradamente o CVE-2024-49112, enquanto seu PoC era para o
CVE-2024-49113
, que é uma vulnerabilidade de negação de serviço de menor gravidade.
Esse erro, mesmo corrigido posteriormente, criou um maior interesse e alarde ao redor do LDAPNightmare e seu potencial para ataques, que provavelmente é o que os atores de ameaças tentaram aproveitar.
Usuários que baixam o PoC do repositório malicioso recebem um executável empacotado com UPX chamado 'poc.exe', que, ao ser executado, libera um script do PowerShell na pasta %Temp% da vítima.
O script cria um trabalho agendado no sistema comprometido, que executa um script codificado que busca um terceiro script no Pastebin.
Este payload final coleta informações do computador, listas de processos, listas de diretórios, endereço IP, informações do adaptador de rede, bem como atualizações instaladas, e as envia em forma de arquivo ZIP para um servidor FTP externo usando credenciais codificadas.
Uma lista dos indicadores de comprometimento para este ataque pode ser encontrada aqui.
Usuários do GitHub que buscam exploits públicos para pesquisa ou teste precisam ter cautela e idealmente confiar apenas em empresas de cibersegurança e pesquisadores com boa reputação.
Atores de ameaças tentaram se passar por pesquisadores de segurança conhecidos no passado, portanto, validar a autenticidade do repositório é crucial.
Se possível, revise o código antes de executá-lo no seu sistema, faça upload de binários para o VirusTotal e evite qualquer coisa que pareça obfuscada.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...