Un exploit falso disfrazado de prueba de concepto (PoC) para la vulnerabilidad CVE-2024-49113, conocida como «LDAPNightmare», está infectando a usuarios desprevenidos con malware diseñado para robar información confidencial y enviarla a un servidor FTP externo. Este caso, descubierto por Trend Micro, destaca la continua explotación de técnicas engañosas por parte de actores maliciosos que se aprovechan de las plataformas de código abierto para propagar malware.
La Estrategia Detrás del Ataque
El repositorio malicioso en GitHub aparenta ser una copia del PoC legítimo de SafeBreach Labs, publicado originalmente el 1 de enero de 2025. Sin embargo, este PoC fraudulento incluye un ejecutable empaquetado con UPX llamado poc.exe, que al ejecutarse deja caer un script PowerShell en la carpeta %Temp% de la víctima.
Este script inicial crea un trabajo programado que ejecuta otro script codificado, encargado de descargar un tercer script desde Pastebin. Este payload final recolecta información sensible del sistema, como:
- Información del equipo y lista de procesos.
- Directorios y adaptadores de red.
- Actualizaciones instaladas.
- Dirección IP del sistema.
Toda esta información se almacena en un archivo ZIP y se transfiere a un servidor FTP utilizando credenciales integradas en el código.
Origen de la Confusión
El PoC legítimo de SafeBreach Labs inicialmente cometió un error al referirse a la vulnerabilidad crítica de ejecución remota de código (RCE) CVE-2024-49112, en lugar de la vulnerabilidad menos severa de denegación de servicio CVE-2024-49113. Aunque la corrección llegó más tarde, este error inicial generó un interés indebido en «LDAPNightmare», lo que los atacantes utilizaron para atraer a víctimas hacia su repositorio malicioso.
Lecciones de Seguridad para los Usuarios de GitHub
Este incidente subraya la importancia de la precaución al descargar PoCs o herramientas de investigación de GitHub. Aquí hay algunas recomendaciones clave:
- Confiar solo en fuentes reputadas: Descargue exploits únicamente de firmas de ciberseguridad o investigadores reconocidos.
- Validar la autenticidad del repositorio: Verifique que el repositorio pertenezca a un autor confiable antes de interactuar con su contenido.
- Revisar el código antes de ejecutarlo: Inspeccione el código para identificar posibles comportamientos maliciosos.
- Utilizar herramientas como VirusTotal: Escanee cualquier archivo binario o ejecutable para detectar amenazas antes de ejecutarlo.
- Evitar código obfuscado: Los scripts ofuscados o empaquetados suelen ser indicadores de actividades maliciosas.
Conclusión
Los actores maliciosos continúan explotando plataformas de confianza como GitHub para engañar a investigadores y desarrolladores menos cautelosos. El caso de LDAPNightmare demuestra que la verificación y validación de herramientas de código abierto son esenciales para evitar caer en trampas que comprometan la seguridad de los sistemas. La ciberseguridad comienza con la precaución y una buena higiene digital.
vía: Bleeping computer
