Log4J Vulnerabilidade agora é usada para instalar malware do Dridex Bank

Os agentes de ameaças agora aprovam a vulnerabilidade crítica do Apache Log4j chamado Log4Shell para infectar dispositivos vulneráveis ​​com o infame troyano bancário Dridex ou Meterpreter.

O malware Dride es un troyano bancario desarrollado originalmente para robar las credenciales bancarias en nea de las vctimas. Sem embargo, com o tempo, o malware evoluiu para converter em um carregador que descarrega vários módulos que podem ser usados ​​para realizar diversos comportamentos maliciosos, como instalar cargas adicionais, propagar outros dispositivos, capturar capturas de tela e ms.

Tambin se sabe que as infecções por Dridex conduzem a ataques de ransomware de operações que se cree são relacionadas com o grupo de piratera Evil Corp. Estas infecções de ransomware incluem BitPaymer, DoppelPaymer e possivelmente outras variantes de ransomware de uso.

Log4j explorado para instalar Dridex y Meterpreter

Hoy, Cybersecurity Research Group Cryptolaemus advirti que la vulnerabilidad Log4j agora está explorando para infectar dispositivos Windows com o troyano Dridex e dispositivos Linux com Meterpreter.

Miembro de Cryptolaemus Joseph Roosen dijo a BleepingComputer que os atores de ameaças estão usando a variante de exploração Log4j Remote Method Invocation (RMI) para obrigar os dispositivos vulneráveis ​​a carregar e executar uma classe Java a partir de um servidor remoto controlado por um invasor.

Explodir Log4j RMI para executar o carregador Dridex
Fonte: BleepingComputer

Cuando se ejecuta, la clase Java primero intentar baixar e iniciar um arquivo HTA de varias URL, lo que install el troyano Dridex. Se não puder executar os comandos do Windows, assumir que o dispositivo está executando Linux / Unix e descarregar e executar um script de Python para instalar o Meterpreter.

O Ejecucin de Meterpreter em uma máquina Linux fornecerá aos autores de amenas um shell remoto que pode ser usado para distribuir cargas adicionais de blocos ou comandos de execução.

Os atores de ameaças de Dridex são conhecidos por usar insultos raciais e religiosos em seus nomes de arquivo e URL, que BleepingComputer tem ocultado nas imagens a continuação.

Clase Java descompilada executada por el exploit Log4j
Fonte: BleepingComputer

No Windows, a classe Java baixa um arquivo HTA e abre, você quer criar um arquivo VBS no tapete C: ProgramData. Este arquivo VBS sirve como o descarregador principal de Dridex e já foi visto anteriormente em outras campanhas de correio eletrônico de Dridex.

Arquivo HTA baixado da classe Java
Fonte: BleepingComputer

Ao executar a execução, o arquivo VBS Verifique se o usuário faz parte de um domínio do Windows ao verificar as variáveis ​​do ambiente. Se o usuário for parte de um domínio, o arquivo VBS descarregar Dridex DLL e executar usando Rundll32.exe, como se deve continuar.

Rundll carregando a DLL do Dridex no Windows
Fonte: BleepingComputer

Como se mencione anteriormente, se você explorar a classe Java original não pode executar comandos do Windows, assumir que a operação é em um dispositivo Unix / Linux e baixar um script python 'm.py' em seu lugar.

O script m.py python é executado em dispositivos Linux
Fonte: BleepingComputer

O script anterior contém um script codificado em base64 que é executado para instalar o Meterpreter, um pentest herramienta que fornece um shell inverso aos atores de amenazas.

Script sin ofuscacin que instala o Meterpreter
Fonte: BleepingComputer

Com Meterpreter, os atores de ameaças podem conectar-se ao servidor Linux comprometido e executar comandos de forma remota para propagar ms no vermelho, robar dados ou distribuir ransomware.

Dado que os atores de amenazas aprovechan Log4j para instalar uma gama ampliada de malware, não sorprende que as operações de malware ms ativam estn comenzando a puntar a vulnerabilidade.

Devemos esperar que tras operações de malware comiencen a usar a vulnerabilidade para os servidores das redes e dos servidores corporativos internos. Por isso, se recomenda encarecidamente a todas as organizações que busquem aplicações vulneráveis ​​usando Log4j e as atualizações nas últimas versões.

Isso inclui atualizar Log4j para a versão final, agora versão 2.17, lançada este sbado para corrigir uma nova vulnerabilidade de Denegacin de Servicio.

Há muito escneres Log4j disponíveis que podem ser usados ​​para encontrar aplicativos vulneráveis, incluindo um novo escner de segurança local de Profero.

  • Meta demanda para las personas detrs del phishing no Facebook e Instagram
  • Como aplicar un filtro a un grfico no Microsoft Excel

Descobre ms contenido

Que é um amplificador integrado?

Google Pixel Watch também tem detecção de cadas, pero no hasta el prximo ao

Las melhores tazas de caf calentadas de 2022

Cmo automatize seu iPhone segn el tiempo, la actividad ou la ubicacin

"Eso debe haber sido antes de mi tiempo"

Por qu la NASA enva a Snoopy a la Luna? – Revisando geek

Ir arriba