Los hackers se están haciendo pasar por investigadores de ciberseguridad en Twitter y GitHub para publicar falsos exploits de prueba de concepto para vulnerabilidades de día cero que infectan Windows y Linux con malware.
Estos exploits maliciosos son promovidos por supuestos investigadores de una compañía falsa de ciberseguridad llamada ‘High Sierra Cyber Security’, que promueven los repositorios de GitHub en Twitter, probablemente dirigidos a investigadores de ciberseguridad y empresas involucradas en la investigación de vulnerabilidades.
Los repositorios parecen legítimos, y los usuarios que los mantienen se hacen pasar por investigadores de seguridad reales de Rapid7 y otras empresas de seguridad.
Las mismas personas mantienen cuentas en Twitter para ayudar a agregar legitimidad a su investigación y a los repositorios de código como GitHub, así como atraer víctimas de la plataforma de redes sociales.
Esta campaña fue descubierta por VulnCheck, quien informa que ha estado en marcha desde al menos mayo de 2023, promoviendo supuestos exploits para fallas de día cero en software popular como Chrome, Discord, Signal, WhatsApp y Microsoft Exchange.
En todos los casos, los repositorios maliciosos alojan un script de Python (‘poc.py’) que actúa como un descargador de malware para sistemas Linux y Windows.
El script descarga un archivo ZIP desde una URL externa a la computadora de la víctima dependiendo de su sistema operativo, con los usuarios de Linux descargando ‘cveslinux.zip’ y los usuarios de Windows recibiendo ‘cveswindows.zip’.
El malware se guarda en las carpetas Windows %Temp% o Linux /home//.local/share, se extrae y se ejecuta.
VulnCheck informa que el binario de Windows contenido en el ZIP (‘cves_windows.exe’) está marcado por más del 60% de los motores AV en VirusTotal. El binario de Linux (‘cves_linux’) es mucho más sigiloso, solo capturado por tres escáneres.
No está claro qué tipo de malware está instalado, pero ambos ejecutables instalan un cliente TOR, y la versión de Windows tiene algunas detecciones como un troyano que roba contraseñas.
Si bien el éxito de esta campaña no está claro, VulnCheck señala que los actores de amenazas parecen persistentes y crean nuevas cuentas y repositorios cuando los existentes se informan y eliminan.
Los investigadores de seguridad y los entusiastas de la ciberseguridad deben tener cuidado al descargar scripts de repositorios desconocidos, ya que la suplantación siempre es posible.
El grupo de piratería patrocinado por el estado de Corea del Norte Lazarus realizó una campaña similar en enero de 2021, cuando crearon personas falsas de investigadores de vulnerabilidades en las redes sociales para atacar a los investigadores con malware y días cero.
Más tarde ese año, se dirigieron a investigadores con versiones troyanizadas del software de ingeniería inversa IDA Pro para instalar troyanos de acceso remoto.
Más recientemente, los académicos encontraron miles de repositorios en GitHub que ofrecen exploits falsos de prueba de concepto (PoC) para varias vulnerabilidades, algunas de ellas infectando a los usuarios con malware, PowerShell malicioso, descargadores de ladrones de información ofuscados, goteros de Cobalt Strike y más.
Al dirigirse a la comunidad de investigación de vulnerabilidades y ciberseguridad, los actores de amenazas pueden obtener acceso a la investigación de vulnerabilidades que se puede utilizar en sus propios ataques.
Peor aún, en muchos casos, el malware podría proporcionar acceso inicial a la red de una empresa de ciberseguridad, lo que llevaría a más ataques de robo de datos y extorsión.
Como las empresas de ciberseguridad tienden a tener información confidencial sobre los clientes, como evaluaciones de vulnerabilidad, credenciales de acceso remoto o incluso vulnerabilidades de día cero no reveladas, este tipo de acceso puede ser muy valioso para un actor de amenazas.
Por lo tanto, al descargar código de GitHub, es imperativo que todo el código sea examinado en busca de comportamiento malicioso. En este caso, la descarga y ejecución de malware es fácilmente visible en las PoC, pero ese puede no ser el caso en todas las situaciones en las que los actores de amenazas pueden ofuscar el código malicioso.
Fuente y redacción: underc0de.org