Cibercriminosos se passam por pesquisadores de segurança para vender explorações falsas do Microsoft Exchange ProxyNotShell

cibercriminosos-se-passam-por-pesquisadores-de-seguranca-para-vender-exploracoes-falsas-do-microsoft-exchange-proxynotshell
Imagem: Pplware

Cibercriminosos estão se passando por pesquisadores de segurança para vender explorações falsas de prova de conceito do ProxyNotShell para vulnerabilidades de zero zero recém-descobertas do Microsoft Exchange.

A empresa vietnamita de segurança cibernética GTSC divulgou, na semana passada, que alguns de seus clientes foram atacados usando duas novas vulnerabilidades de zero dia no Microsoft Exchange. Trabalhando com a Zero Day Initiative da Trend Micro, os pesquisadores divulgaram as vulnerabilidades em particular para a Microsoft, que confirmou que os bugs estavam sendo explorados em ataques e que estavam trabalhando em um cronograma acelerado para lançar atualizações de segurança.

Microsoft confirma exploração das vulnerabilidades de zero dia

A Microsoft compartilhou uma análise que dizia: “A Microsoft observou esses ataques em menos de 10 organizações em todo o mundo. A MSTIC avalia com confiança média que o único grupo de atividade provavelmente será uma organização patrocinada pelo estado”.

Os pesquisadores de segurança estão mantendo os detalhes técnicos das vulnerabilidades em sigilo, e parece que apenas um pequeno número de agentes de ameaças os está explorando. Devido a isso, outros pesquisadores e agentes de ameaças aguardam a primeira divulgação pública das vulnerabilidades para usar em suas próprias atividades, seja defendendo uma rede ou invadindo uma.

Cibercriminosos vendem explorações falsas do Microsoft Exchange

Um golpista começou a criar repositórios do GitHub onde eles tentam vender explorações falsas de prova de conceito para as vulnerabilidades do Exchange CVE-2022-41040 e CVE-2022-41082.

John Hammond, do Huntress Lab (Via: Bleeping Computer), tem seguido esses golpistas, encontrando cinco contas agora removidas tentando vender as façanhas falsas. Essas contas estavam sob os nomes ‘jml4da’, ‘TimWallbey’, ‘Liu Zhao Khin (0daylabin)’, ‘R007er’ e ‘spher0x’, aponta o site.

Além disso, outra conta fraudulenta encontrada por Paulo Pacheco personificou Kevin Beaumont (também conhecido como GossTheDog), um conhecido pesquisador/profissional de segurança que tem documentado as novas vulnerabilidades do Exchange e as mitigações disponíveis.

cibercriminosos-se-passam-por-pesquisadores-de-seguranca-para-vender-exploracoes-falsas-do-microsoft-exchange-proxynotshell

De acordo com o Bleeping Computer, os repositórios em si não contêm nada de importante, mas o README.md descreve o que se sabe atualmente sobre as novas vulnerabilidades, seguido de um argumento sobre como eles estão vendendo uma cópia de uma exploração PoC para os dias zero.

Os arquivos README contêm um link para uma página do SatoshiDisk onde o golpista está tentando vender o exploit falso por 0,01825265 Bitcoin, no valor de aproximadamente US$ 420,00 (aprox. R$ 2.161,00). Essas vulnerabilidades valem muito mais de US$ 400, com a Zerodium oferecendo pelo menos US$ 250.000 para a execução remota de código do Microsoft Exchange zero dias.

Não é preciso dizer que isso é apenas uma farsa, e o envio de qualquer bitcoin provavelmente não resultará no recebimento de nada.

Acesse a versão completa
Sair da versão mobile