Sicherheitsforscher warnen vor einer neuen Betrugsaktion, bei der Cyberkriminelle gefälschte Proof-of-Concept (PoC) Lösungen nutzen, um Sicherheitsforscher mit Infostealer-Malware zu infizieren. Trend Micro entdeckte die Kampagne im Januar 2025 und berichtete, wie die Betrüger eine PoC für eine bekannte, kritische Sicherheitslücke veröffentlichten, um die Aufmerksamkeit der Cybersecurity-Gemeinschaft zu erregen. Anstatt jedoch die PoC für eine Analyse zu verwenden, installierten die Forscher stattdessen Malware auf ihren Systemen.

Die Angreifer beworben eine Variante eines PoC für die Sicherheitslücke LDAPNightmare, die aus zwei Schwachstellen, CVE-2024-49112 und CVE-2024-49113, besteht. Diese Betrugsmethode ist nicht neu und wird häufig von Nationenstaaten angewendet, um wichtige Informationen über Cybersicherheitspraktiken großer Technologieunternehmen, Regierungsorganisationen, kritische Infrastrukturen und mehr zu sammeln. Die entdeckte Malware zielt darauf ab, wichtige PC-Informationen wie Prozesslisten, Verzeichnislisten, Netzwerk-IPs, Netzwerkadapter und installierte Updates zu stehlen.

Trend Micro-Forscherin Sarah Pearl Camiling betonte die erhebliche Bedeutung der entdeckten Schwachstellen aufgrund der weit verbreiteten Verwendung von LDAP in Windows-Umgebungen. Die Betrüger ersetzten im gefälschten PoC einige legale Dateien durch eine ausführbare Datei namens „poc.exe“, die ein PowerShell-Skript bereitstellt, welches wiederum ein weiteres Skript bereitstellt, um Daten vom Computer zu stehlen. Der in diesem Fall entdeckte Infostealer war Teil einer gefälschten PoC-Kampagne, die als raffinierter Angriff auf Sicherheitsforscher diente.

Diese Methode zeigt, wie raffiniert Cyberkriminelle vorgehen, um infostealing Malware zu verbreiten, indem sie Sicherheitsforscher gezielt angreifen. Nationenstaaten nutzen oft solche Angriffe, um wertvolle Informationen aus verschiedenen Organisationen zu sammeln.

Via The Register.