Ogni volta che Microsoft rilascia delle patch di sicurezza per Windows, i ricercatori pubblicano degli exploit proof-of-concept (PoC) su GitHub al fine di sincerarsi che l’aggiornamento di riferimento sia effettivamente efficace. Quanto verificatosi nel corso delle ultime ore va però a vanificare tutto il lavoro svolto, in favore dell’azione dei cybercrminali che sono sempre pronti a passare all’attacco.
Windows: due falsi PoC installano Cobalt Strike sul PC
Stando infatti a quanto segnalato dai ricercatori di sicurezza informatica, qualcuno ha condiviso due falsi PoC che installano sul computer Cobalt Strike, un noto tool di penetration test che viene sfruttato anche per attività illecite, con cui i cybercriminali possono accedere alle reti delle aziende o dei singoli ricercatori per rubare diversi dati riservati dei loro clienti.
Più precisamente, l’utente rkxxz ha pubblicato su GitHub due exploit che sfruttano le vulnerabilità CVE-2022-24500 e CVE-2022-26809 presenti in Windows e risolte da Microsoft con le patch distribuite il 12 aprile. Le repository e l’account dell’utente sono stati rimossi, ma non è ancora chiaro se il codice infetto può aver creato problemi alla community infosec.
Il malware che si cela negli exploit è scritto in .NET e non include nessun codice per testare le patch. L’exploit esegue un comando PowerShell per distribuire il payload da un server C2C (command and control) viene scaricato e caricato in memoria Cobalt Strike.
Per evitare di incorrere in minacce informatiche e mettere a repentaglio la salute del computer e i propri dati archiviati sullo stesso, è bene munirsi preventivamente di un software antivirus, come nel caso dell’ottimo Avast Premium Security.