This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Exploits falsos de Microsoft Exchange ProxyNotShell a la venta en GitHub

  • 0 Replies
  • 407 Views

0 Members and 1 Guest are viewing this topic.

Offline Dragora

  • *
  • Moderador Global
  • Posts: 2212
  • Actividad:
    100%
  • Country: gt
  • Reputación 25
  • La resistencia es inútil, serás absorbido.
    • View Profile

Los estafadores se hacen pasar por investigadores de seguridad para vender exploits ProxyNotShell de prueba de concepto falsos para las vulnerabilidades de día cero de Microsoft Exchange recién descubiertas.

La semana pasada, la empresa de ciberseguridad vietnamita GTSC reveló que algunos de sus clientes habían sido atacados mediante dos nuevas vulnerabilidades de día cero en Microsoft Exchange .

Trabajando con Zero Day Initiative de Trend Micro, los investigadores revelaron las vulnerabilidades de forma privada a Microsoft, quien confirmó que los errores estaban siendo explotados en ataques y que estaban trabajando en un cronograma acelerado para lanzar actualizaciones de seguridad.

"Microsoft observó estos ataques en menos de 10 organizaciones a nivel mundial. MSTIC evalúa con confianza media que es probable que el único grupo de actividad sea una organización patrocinada por el estado", compartió Microsoft en un análisis de los ataques .

Los investigadores de seguridad mantienen en privado los detalles técnicos de las vulnerabilidades, y parece que solo una pequeña cantidad de actores de amenazas las están explotando.

Debido a esto, otros investigadores y actores de amenazas están a la espera de la primera divulgación pública de las vulnerabilidades para usar en sus propias actividades, ya sea defendiendo una red o pirateando una.

Estafadores que venden exploits falsos

Para aprovechar esta pausa antes de la tormenta, un estafador ha comenzado a crear repositorios de GitHub donde intenta vender exploits de prueba de concepto falsos para las vulnerabilidades de Exchange CVE-2022-41040 y CVE-2022-41082.

John Hammond de Huntress Lab ha estado siguiendo a estos estafadores y ha encontrado cinco cuentas ahora eliminadas que intentan vender las hazañas falsas. Estas cuentas estaban bajo los nombres 'jml4da', 'TimWallbey', 'Liu Zhao Khin (0daylabin)', 'R007er' y 'spher0x'.

Otra cuenta fraudulenta encontrada por Paulo Pacheco se hizo pasar por Kevin Beaumont (también conocido como GossTheDog ), un conocido investigador/profesional de seguridad que ha estado documentando las nuevas vulnerabilidades de Exchange y las mitigaciones disponibles.


Los repositorios en sí mismos no contienen nada de importancia, pero el README.md describe lo que se sabe actualmente sobre las nuevas vulnerabilidades, seguido de un discurso sobre cómo están vendiendo una copia de un exploit PoC para los días cero.

"Esto significa que puede pasar desapercibido para el usuario y potencialmente también para el equipo de seguridad. Una herramienta tan poderosa no debería ser completamente pública, estrictamente solo hay 1 copia disponible para que un investigador REAL pueda usarla: You are not allowed to view links. Register or Login. com/pay/xxx", dice el texto en el repositorio de estafas.


Los archivos README contienen un enlace a una página de SatoshiDisk donde el estafador intenta vender el exploit falso por 0.01825265 Bitcoin, con un valor aproximado de $420.00.


Página de SatoshiDisk para estafa
Fuente: BleepingComputer

Estas vulnerabilidades valen mucho más de $ 400, y Zerodium ofrece al menos $ 250,000 para la ejecución remota de código de Microsoft Exchange cero días.

No hace falta decir que esto es solo una estafa, y enviar cualquier bitcoin probablemente no dará como resultado que recibas nada.

Además, con toda la información ya disponible, es probable que descubrir un exploit para los errores no sea demasiado difícil, especialmente para los actores de amenazas más avanzados , como los piratas informáticos patrocinados por el estado que tendrían un incentivo para violar las organizaciones de interés.

Fuente: You are not allowed to view links. Register or Login