ΑρχικήSecurityGitHub: Ψεύτικο PoC exploit για ευπάθεια διανέμει infostealer

GitHub: Ψεύτικο PoC exploit για ευπάθεια διανέμει infostealer

Ένα ψεύτικο proof-of-concept (PoC) exploit για την ευπάθεια CVE-2024-49113 (γνωστή και ως “LDAPNightmare“) στο GitHub μολύνει χρήστες με infostealer malware. Το κακόβουλο λογισμικό κλέβει ευαίσθητα δεδομένα και τα στέλνει σε έναν εξωτερικό διακομιστή FTP.

PoC exploit ευπάθεια GitHub

Δεν είναι η πρώτη φορά που βλέπουμε κακόβουλα εργαλεία να μεταμφιέζονται σε PoC exploit στο GitHub, για να ξεγελάσουν τους χρήστες.

Η συγκεκριμένη εκστρατεία ανακαλύφθηκε από την Trend Micro.

Advertisement

Ένα παραπλανητικό PoC exploit στο GitHub

Η Trend Micro αναφέρει ότι το κακόβουλο GitHub repository περιέχει ένα project, που φαίνεται να έχει κοινά στοιχεία με το νόμιμο PoC της SafeBreach Labs για την ευπάθεια CVE-2024-49113.

Δείτε επίσης: Προσοχή! Νέα malware καμπάνια διανέμει το Skuld info-stealer

Η ευπάθεια επηρεάζει το Windows Lightweight Directory Access Protocol (LDAP) και διορθώθηκε από τη Microsoft με την ενημέρωση Patch Tuesday Δεκεμβρίου 2024. Ταυτόχρονα, είχε διορθωθεί και μια άλλη ευπάθεια στο LDAP, η CVE-2024-49112.

Η αρχική ανάρτηση της SafeBreach, σχετικά με το PoC exploit, ανέφερε λανθασμένα την ευπάθεια CVE-2024-49112, ενώ το PoC ήταν για την CVE-2024-49113. Αυτό το λάθος, που διορθώθηκε αργότερα, δημιούργησε μεγαλύτερο ενδιαφέρον γύρω από την ευπάθεια LDAPNightmare και τις δυνατότητές της για επιθέσεις, κάτι που πιθανώς προσπάθησαν να εκμεταλλευτούν οι επιτιθέμενοι στη συγκεκριμένη καμπάνια.

Οι χρήστες που κάνουν λήψη του PoC exploit από το κακόβουλο GitHub repository θα λάβουν ένα UPX-packed εκτελέσιμο «poc.exe» το οποίο, κατά την εκτέλεση, εγκαθιστά ένα PowerShell script στο φάκελο %Temp% του θύματος.

Το script δημιουργεί ένα scheduled job στο παραβιασμένο σύστημα, το οποίο εκτελεί ένα κωδικοποιημένο script που ανακτά ένα τρίτο script από το Pastebin. Αυτό το τελικό payload είναι το infostealer που συλλέγει πληροφορίες υπολογιστή, λίστες διεργασιών, λίστες καταλόγου, διεύθυνση IP, πληροφορίες network adapter και εγκατεστημένες ενημερώσεις. Αυτές τις πληροφορίες τις ανεβάζει σε μορφή αρχείου ZIP σε έναν εξωτερικό διακομιστή FTP.

Δείτε επίσης: Hacker φυλακίζεται για τη συμμετοχή του στο Raccoon Stealer malware

Μια λίστα με τους δείκτες παραβίασης είναι διαθέσιμη στην έκθεση της Trend Micro.

Οι χρήστες του GitHub, που κατεβάζουν public exploits για έρευνα ή δοκιμές, πρέπει να είναι προσεκτικοί και να χρησιμοποιούν POC exploit μόνο από γνωστές εταιρείες κυβερνοασφάλειας και ερευνητές.

Από την άλλη μεριά, οι κυβερνοεγκληματίες μπορεί να προσπαθούν να μιμηθούν γνωστούς ερευνητές ασφαλείας, επομένως η επικύρωση της αυθεντικότητας του repository είναι επίσης ζωτικής σημασίας.

Εάν είναι δυνατόν, πρέπει να γίνεται έλεγχος του κώδικα πριν την εκτέλεση. Καλό είναι να γίνεται πρώτα μεταφόρτωση των binaries στο VirusTotal.

infostealer LDAPNightmare

Γενικά tips προστασίας από info-stealer malware

Πρώτον, είναι σημαντικό να γίνεται ενημέρωση των λειτουργικών συστημάτων και των εφαρμογών, καθώς οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τις συσκευές από τέτοιου είδους επιθέσεις.

Δεύτερον, προτείνεται η χρήση ισχυρών, μοναδικών κωδικών πρόσβασης. Αυτό μπορεί να βοηθήσει στην προστασία των λογαριασμών από παραβίαση.

Δείτε επίσης: Hackers χρησιμοποιούν το RedLine Stealer για κλοπή διαπιστευτηρίων

Τρίτον, είναι απαραίτητη η εκπαίδευση των χρηστών σχετικά με τους κινδύνους των malware. Οι χρήστες πρέπει να γνωρίζουν τα σημάδια των ύποπτων μηνυμάτων ηλεκτρονικού ταχυδρομείου και να αποφεύγουν το κλικ σε ύποπτους συνδέσμους.

Τέλος, υπογραμμίζεται η ανάγκη για χρήση λύσεων ασφαλείας που παρέχουν προστασία σε πραγματικό χρόνο και έχουν τη δυνατότητα να ανιχνεύσουν και να απομακρύνουν το malware.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS