Инфостилер распространяется среди программистов под видом эксклоита для исправленной уязвимости Windows

В декабре 2024 года в рамках Microsoft Patch Tuesday были устранены две критические уязвимости в протоколе Lightweight Directory Access Protocol (LDAP) для Windows. Уязвимости получили высокую оценку опасности из-за широкого использования LDAP в инфраструктуре Windows, пишет Securitylab.

Первая уязвимость целочисленного переполнения (Integer Overflow) CVE-2024-49112 (оценка CVSS: 9.8) позволяет удалённым злоумышленникам выполнять произвольный код на целевой системе с помощью специально сформированных LDAP-запросов. Вторая, CVE-2024-49113 (оценка CVSS: 7.5), вызывает отказ в обслуживании (DoS), способный прервать работу службы LDAP.

На фоне данной ситуации в сети появился эксплоит для CVE-2024-49113 под названием LDAPNightmare, который оказался подделкой. На самом деле программа представляет собой ловушку для привлечения внимания исследователей безопасности с целью загрузки инфостилера.

Хотя использование поддельных PoC для распространения вредоносных программ не является новой тактикой, данный случай вызывает обеспокоенность. Эксплоит использует актуальную проблему, что увеличивает вероятность широкого круга жертв.

Зловредный репозиторий, содержащий PoC, оказался форком оригинального проекта. Однако Python-файлы в нём были заменены на исполняемый файл poc.exe, упакованный с помощью UPX. На первый взгляд репозиторий выглядит обычным, но наличие исполняемого файла вызывает подозрения, поскольку он не характерен для проектов на Python.

При запуске poc.exe в папке %Temp% создаётся PowerShell-скрипт, который запускает запланированное задание. Это задание выполняет закодированный скрипт, загружающий другой код с Pastebin.

Декодированный скрипт собирает публичный IP-адрес машины жертвы и передаёт его через FTP. Затем осуществляется сбор и компрессия данных, которые загружаются на внешний FTP-сервер с использованием жёстко заданных учётных данных.

Среди передаваемой информации:

• Данные о компьютере;
• Список процессов;
• Содержимое папок (Загрузки, Недавние, Документы, Рабочий стол);
• Сетевые IP-адреса;
• Сетевые адаптеры;
• Установленные обновления.