- Trend Micro detecta un malware que se anuncia como una bifurcación PoC para una importante vulnerabilidad de Windows
- El malware actúa como un ladrón de información, capturando información vital del sistema.
- Los ataques de este tipo suelen ser llevados a cabo por estados nacionales.
Los expertos han advertido que los ciberdelincuentes se dirigen a los investigadores de seguridad con soluciones falsas de prueba de concepto (PoC), tratando de infectar sus computadoras con malware para robar datos.
Los investigadores de ciberseguridad, Trend Micro, que identificaron la nueva campaña en enero de 2025, observaron cómo los delincuentes publicarían una prueba de concepto para una vulnerabilidad popular con un nivel de gravedad crítico, para llamar la atención del sector de la ciberseguridad.
Los investigadores capturarán el PoC para analizarlo y terminarán instalando una pieza de malware.
Robar información vital en la computadora.
En este caso particular, los delincuentes lanzaron una bifurcación de un PoC legítimo y existente para LDAPNightmare, una vulnerabilidad descubierta a principios de enero, que consta de dos fallas, CVE-2024-49112 y CVE-2024-49113.
El primero se utiliza como cebo aquí, ya que es una falla de gravedad 9.8/10 que afecta el Protocolo ligero de acceso a directorios (LDAP) de Windows, lo que permite la ejecución remota de código (RCE).
En el artículo, la investigadora de Trend Micro, Sarah Pearl Camilling, dijo que “ambas vulnerabilidades se consideraron muy importantes debido al uso generalizado de LDAP en entornos Windows”. Ambas fallas se solucionaron en diciembre de 2024 mediante la actualización acumulativa del martes de parches.
En el PoC falso, los delincuentes reemplazaron algunos de los archivos legítimos con un archivo ejecutable llamado “poc.exe”. Esto implementará un script de PowerShell que, a su vez, implementará otro script que roba datos de la computadora.
Esto es lo que lidera el ladrón de información:
– Información sobre la computadora
– Lista de procesos
– Listas de bibliotecas (descargas, recientes, documentos y escritorio)
– Direcciones IP de red
– Adaptadores de red
– Actualizaciones instaladas
Este tipo de ataque no es nada nuevo: en el pasado se ha observado que los delincuentes aplican regularmente las mismas tácticas.
Aunque no se insinúa en el informe, los ataques de este tipo a menudo son llevados a cabo por elementos de estados nacionales, en un intento de recopilar inteligencia vital sobre los procedimientos de seguridad cibernética de grandes organizaciones tecnológicas, empresas gubernamentales, actores de infraestructura crítica y más.
a través de el registrador