PoC falsa instala malware de roubo de senha no Linux

Falsa exploração de vulnerabilidade do sistema de código aberto descarta malware para roubo de dados
Da Redação
16/07/2023

Pesquisadores de segurança cibernética e até mesmo operadores de ameaças são alvos de uma falsa prova de conceito (PoC) que instala um malware de roubo de senha no Linux. Os analistas da Uptycs descobriram a PoC falsa durante suas verificações de rotina, quando os sistemas de detecção da empresa sinalizaram irregularidades, como conexões de rede inesperadas, tentativas de acesso não autorizado ao sistema e transferências de dados atípicas.

Três repositórios foram encontrados hospedando a falsa exploração maliciosa da PoC, com dois removidos do GitHub e o restante ainda ativo. A Uptycs relata que a PoC falsa foi amplamente compartilhada entre membros da comunidade de pesquisa de segurança, portanto, infecções podem existir em um número significativo de computadores.

A PoC falsa afirma ser um exploit para o CVE-2023-35829, uma falha de uso após a liberação de alta gravidade que afeta o kernel do Linux antes da versão 6.3.2. Na realidade, porém, a PoC é uma cópia de uma exploração antiga e legítima de outra vulnerabilidade do kernel do Linux, o CVE-2022-34918.

O código aproveita os namespaces, um recurso do Linux que particiona componentes do kernel, para dar a impressão de que é um shell root, mesmo que seus privilégios ainda sejam limitados dentro do namespace do usuário. Isso é feito para reforçar a ilusão de que a exploração é genuína e está funcionando conforme o esperado, dando aos invasores mais tempo para circular livremente no sistema comprometido.

Veja isso
Hackers sequestram dispositivos Linux usando sistemas PRoot
Kali Linux ganha nova distribuição para segurança defensiva

A Uptycs sugere que os pesquisadores que baixaram e usaram a PoC falsa executem as seguintes etapas:

  • Remova todas as chaves SSH não autorizadas
  • Exclua o arquivo kworker
  • Remova o caminho kworker do arquivo bashrc
  • Verifique /tmp/.iCE-unix.pid para possíveis ameaças
  • As PoCs baixadas da internet devem ser testadas em ambientes sandbox/isolados como máquinas virtuais e, se possível, ter seu código inspecionado antes da execução.

Enviar binários para o VirusTotal também é uma maneira rápida e fácil de identificar um arquivo malicioso.

Compartilhar:

Últimas Notícias