Un exploit de preuve de concept (PoC) trompeur pour CVE-2024-49113 (alias « LDAPNightmare ») sur GitHub infecte les utilisateurs avec un logiciel malveillant infostealer qui exfiltre les données sensibles vers un serveur FTP externe.
Cette tactique n’est pas nouvelle, car il existe plusieurs cas documentés d’outils malveillants déguisés en exploits PoC sur GitHub.
Cependant, ce cas, découvert par Trend Microsouligne que les auteurs de menaces continuent d’utiliser cette tactique pour inciter les utilisateurs sans méfiance à s’infecter avec des logiciels malveillants.
Dépôt malveillant sur GitHub
Source : Trend Micro
Un exploit trompeur
Trend Micro signale que le référentiel GitHub malveillant contient un projet qui semble avoir été dérivé de SafeBreach Labs. PoC légitime pour CVE-2024-49113, publié le 1er janvier 2025.
La faille est l’une des deux failles ayant un impact sur le protocole LDAP (Lightweight Directory Access Protocol) de Windows, que Microsoft a corrigé dans son Patch Tuesday de décembre 2024, l’autre étant un problème critique d’exécution de code à distance (RCE) suivi comme CVE-2024-49112.
Initiale de SafeBreach article de blog à propos du PoC injustement a mentionné CVE-2024-49112, alors que leur PoC concernait CVE-2024-49113, qui est une vulnérabilité de déni de service de moindre gravité.
Cette erreur, même si elle a été corrigée plus tard, a suscité un intérêt et un buzz accrus autour de LDAPNightmare et de son potentiel d’attaques, ce dont les acteurs malveillants ont probablement tenté de tirer parti.
Les utilisateurs téléchargeant le PoC à partir du référentiel malveillant obtiendront un exécutable « poc.exe » contenant UPX qui, lors de l’exécution, dépose un script PowerShell dans le dossier %Temp% de la victime.
Le script crée une tâche planifiée sur le système compromis, qui exécute un script codé qui récupère un troisième script depuis Pastebin.
Cette charge utile finale collecte des informations sur l’ordinateur, des listes de processus, des listes de répertoires, des informations sur l’adresse IP et la carte réseau, ainsi que les mises à jour installées, et les télécharge sous forme d’archive ZIP sur un serveur FTP externe à l’aide d’informations d’identification codées en dur.
Voler les données du système infecté
Source : Trend Micro
Une liste des indicateurs de compromission pour cette attaque peut être trouvé ici.
Les utilisateurs de GitHub qui recherchent des exploits publics à des fins de recherche ou de tests doivent faire preuve de prudence et, idéalement, ne faire confiance qu’aux entreprises et chercheurs en cybersécurité jouissant d’une bonne réputation.
Dans le passé, des acteurs malveillants ont tenté de se faire passer pour des chercheurs en sécurité renommés. Il est donc également crucial de valider l’authenticité du référentiel.
Si possible, examinez le code avant de l’exécuter sur votre système, téléchargez les binaires sur VirusTotal et ignorez tout ce qui semble obscurci.
#faux #exploit #LDAPNightmware #sur #GitHub #propage #malware #infostealer