- Trend Micro detecta malware sendo anunciado como fork PoC para uma grande vulnerabilidade do Windows
- O malware atua como um ladrão de informações, capturando informações vitais do sistema
- Esses tipos de ataques são frequentemente conduzidos por estados-nação
Os cibercriminosos têm como alvo os pesquisadores de segurança com soluções falsas de prova de conceito (PoC), tentando infectar seus computadores com malware que rouba informações, alertaram os especialistas.
Os pesquisadores de segurança cibernética Trend Micro, que identificaram a nova campanha em janeiro de 2025, observaram como os criminosos publicariam um PoC para uma vulnerabilidade popular e de gravidade crítica, para chamar a atenção do público da segurança cibernética.
Os pesquisadores então pegariam o PoC para análise e, em vez disso, acabariam instalando um malware.
Roubando informações vitais do PC
Neste caso específico, os criminosos estavam anunciando um fork de um PoC legítimo e existente para LDAPNightmare, uma vulnerabilidade descoberta no início de janeiro e que consiste em duas falhas, CVE-2024-49112 e CVE-2024-49113.
O primeiro serve de isca aqui, pois é uma falha de gravidade 9.8/10, afetando o Windows Lightweight Directory Access Protocol (LDAP) e permitindo a execução remota de código (RCE).
Em seu artigo, a pesquisadora da Trend Micro, Sarah Pearl Camiling, disse que “ambas as vulnerabilidades foram consideradas altamente significativas devido ao uso generalizado de LDAP em ambientes Windows”. Ambas as falhas foram corrigidas em dezembro de 2024, por meio da atualização cumulativa Patch Tuesday.
No PoC falso, os criminosos substituíram alguns dos arquivos legítimos por um executável chamado “poc.exe”. Isso implantaria um script do PowerShell que, por sua vez, implantaria outro script que rouba dados do computador.
Aqui está o que o infostealer serve:
– Informações do PC
– Lista de processos
– Listas de diretórios (Downloads, Recentes, Documentos e Desktop)
– IPs de rede
– Adaptadores de rede
– Atualizações instaladas
Este tipo de ataque não é novidade – criminosos foram observados regularmente aplicando as mesmas táticas no passado.
Embora isto não tenha sido sugerido no relatório, estes tipos de ataques são frequentemente conduzidos por intervenientes do Estado-nação, numa tentativa de recolher informações vitais sobre as práticas de segurança cibernética de grandes organizações tecnológicas, empresas governamentais, intervenientes em infra-estruturas críticas e muito mais.
Através O Registro