Pesquisadores de segurança cibernética e até mesmo operadores de ameaças são alvos de uma falsa prova de conceito (PoC) que instala um malware de roubo de senha no Linux. Os analistas da Uptycs descobriram a PoC falsa durante suas verificações de rotina, quando os sistemas de detecção da empresa sinalizaram irregularidades, como conexões de rede inesperadas, tentativas de acesso não autorizado ao sistema e transferências de dados atípicas.
Três repositórios foram encontrados hospedando a falsa exploração maliciosa da PoC, com dois removidos do GitHub e o restante ainda ativo. A Uptycs relata que a PoC falsa foi amplamente compartilhada entre membros da comunidade de pesquisa de segurança, portanto, infecções podem existir em um número significativo de computadores.
A PoC falsa afirma ser um exploit para o CVE-2023-35829, uma falha de uso após a liberação de alta gravidade que afeta o kernel do Linux antes da versão 6.3.2. Na realidade, porém, a PoC é uma cópia de uma exploração antiga e legítima de outra vulnerabilidade do kernel do Linux, o CVE-2022-34918.
O código aproveita os namespaces, um recurso do Linux que particiona componentes do kernel, para dar a impressão de que é um shell root, mesmo que seus privilégios ainda sejam limitados dentro do namespace do usuário. Isso é feito para reforçar a ilusão de que a exploração é genuína e está funcionando conforme o esperado, dando aos invasores mais tempo para circular livremente no sistema comprometido.
Veja isso
Hackers sequestram dispositivos Linux usando sistemas PRoot
Kali Linux ganha nova distribuição para segurança defensiva
A Uptycs sugere que os pesquisadores que baixaram e usaram a PoC falsa executem as seguintes etapas:
- Remova todas as chaves SSH não autorizadas
- Exclua o arquivo kworker
- Remova o caminho kworker do arquivo bashrc
- Verifique /tmp/.iCE-unix.pid para possíveis ameaças
- As PoCs baixadas da internet devem ser testadas em ambientes sandbox/isolados como máquinas virtuais e, se possível, ter seu código inspecionado antes da execução.
Enviar binários para o VirusTotal também é uma maneira rápida e fácil de identificar um arquivo malicioso.