Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Инфостилер распространяется среди программистов под видом эксклоита для исправленной уязвимости Windows

10/01/25

hack145-2

В декабре 2024 года в рамках Microsoft Patch Tuesday были устранены две критические уязвимости в протоколе Lightweight Directory Access Protocol (LDAP) для Windows. Уязвимости получили высокую оценку опасности из-за широкого использования LDAP в инфраструктуре Windows, пишет Securitylab.

Первая уязвимость целочисленного переполнения (Integer Overflow) CVE-2024-49112 (оценка CVSS: 9.8) позволяет удалённым злоумышленникам выполнять произвольный код на целевой системе с помощью специально сформированных LDAP-запросов. Вторая, CVE-2024-49113 (оценка CVSS: 7.5), вызывает отказ в обслуживании (DoS), способный прервать работу службы LDAP.

На фоне данной ситуации в сети появился эксплоит для CVE-2024-49113 под названием LDAPNightmare, который оказался подделкой. На самом деле программа представляет собой ловушку для привлечения внимания исследователей безопасности с целью загрузки инфостилера.

Хотя использование поддельных PoC для распространения вредоносных программ не является новой тактикой, данный случай вызывает обеспокоенность. Эксплоит использует актуальную проблему, что увеличивает вероятность широкого круга жертв.

Зловредный репозиторий, содержащий PoC, оказался форком оригинального проекта. Однако Python-файлы в нём были заменены на исполняемый файл poc.exe, упакованный с помощью UPX. На первый взгляд репозиторий выглядит обычным, но наличие исполняемого файла вызывает подозрения, поскольку он не характерен для проектов на Python.

При запуске poc.exe в папке %Temp% создаётся PowerShell-скрипт, который запускает запланированное задание. Это задание выполняет закодированный скрипт, загружающий другой код с Pastebin.

Декодированный скрипт собирает публичный IP-адрес машины жертвы и передаёт его через FTP. Затем осуществляется сбор и компрессия данных, которые загружаются на внешний FTP-сервер с использованием жёстко заданных учётных данных.

Среди передаваемой информации:

  • Данные о компьютере;
  • Список процессов;
  • Содержимое папок (Загрузки, Недавние, Документы, Рабочий стол);
  • Сетевые IP-адреса;
  • Сетевые адаптеры;
  • Установленные обновления.
Темы:WindowsУгрозыPoC-эксплоитыинфостилеры
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...