HACKING

Η ευπάθεια Log4j Log4Shell χρησιμοποιείται για την εγκατάσταση του Dridex banking trojan

This post was originally published on this site

Εγκληματίες του κυβερνοχώρου εκμεταλλεύονται τώρα την κρίσιμη ευπάθεια του Apache Log4j, Log4Shell, για να μολύνουν ευάλωτες συσκευές με το γνωστό Dridex banking trojan.

Log4j Dridex banking trojan
Η ευπάθεια Log4j Log4Shell χρησιμοποιείται για την εγκατάσταση του Dridex banking trojan

Το Dridex malware είναι ένα banking trojan που αναπτύχθηκε αρχικά για να κλέβει τραπεζικά credentials. Ωστόσο, το malware έχει πλέον εξελιχθεί πολύ και έχει μετατραπεί σε ένα loader που κατεβάζει στις συσκευές-στόχους διάφορα modules, που μπορούν να χρησιμοποιηθούν για την εκτέλεση πολλών κακόβουλων δραστηριοτήτων (π.χ. εγκατάσταση πρόσθετων payloads, εξάπλωση σε άλλες συσκευές, λήψη screenshots κλπ).

Δείτε επίσης: Υπουργείο Άμυνας του Βελγίου: Επιβεβαιώνει κυβερνοεπίθεση μέσω Log4j

Μετά από μια μόλυνση με το Dridex trojan, ακολουθεί συχνά μια ransomware επίθεση.

Το Log4j χρησιμοποιείται για την εγκατάσταση του Dridex και του Meterpreter

Η ερευνητική ομάδα Cryptolaemus προειδοποίησε ότι η ευπάθεια στο Apache Log4j library χρησιμοποιείται πλέον για να μολύνει συσκευές Windows με το Dridex banking trojan και συσκευές Linux με το Meterpreter.

Ο Joseph Roosen από την Cryptolaemus είπε στο BleepingComputer ότι οι εγκληματίες χρησιμοποιούν το Log4j RMI (Remote Method Invocation) exploit για να αναγκάσουν τις ευάλωτες συσκευές να φορτώσουν και να εκτελέσουν ένα Java class από έναν απομακρυσμένο διακομιστή που ελέγχεται από τους επιτιθέμενους.

Όταν εκτελεστεί, το Java class θα επιχειρήσει να πραγματοποιήσει λήψη και ενεργοποίηση ενός HTA file από διάφορες διευθύνσεις URL, οι οποίες θα εγκαταστήσουν το Dridex banking trojan. Εάν δεν μπορεί να εκτελέσει τις εντολές των Windows, θα υποθέσει ότι η συσκευή εκτελεί Linux/Unix και θα κατεβάσει και θα εκτελέσει ένα Python script για να εγκαταστήσει το Meterpreter.

Δείτε επίσης: DarkWatchman: Νέο malware κρύβεται στο Windows Registry

Πώς γίνεται η επίθεση;

Στα Windows, το Java class θα κατεβάσει ένα HTA file και θα το ανοίξει, κάτι που θα προκαλέσει τη δημιουργία ενός VBS file στο C:ProgramData folder. Αυτό το VBS file λειτουργεί ως το κύριο πρόγραμμα λήψης για το Dridex banking trojan.

Όταν εκτελεστεί, το VBS file θα ελέγξει εάν ο χρήστης είναι μέρος ενός Windows domain, ελέγχοντας διάφορα environment variables. Εάν ισχύει αυτό, το VBS file θα πραγματοποιήσει λήψη του Dridex DLL και θα το εκτελέσει χρησιμοποιώντας το Rundll32.exe, όπως φαίνεται παρακάτω.

Αν όμως το Java class exploit δεν είναι σε θέση να πραγματοποιήσει τις εντολές των Windows, τότε θα υποθέσει ότι πρόκειται για μια Unix/Linux συσκευή, όπως είπαμε παραπάνω. Σε αυτή την περίπτωση, θα κατεβάσει ένα ‘m.py’ python script.

Η ευπάθεια Log4j Log4Shell χρησιμοποιείται για την εγκατάσταση του Dridex banking trojan

Αυτό το script περιέχει ένα base64 encoded script που θα εκτελεστεί για την εγκατάσταση του Meterpreter. Το Meterpreter είναι στην ουσία ένα pentesting tool που παρέχει ένα reverse shell στους εγκληματίες του κυβερνοχώρου.

Μέσω του Meterpreter, οι επιτιθέμενοι μπορούν να συνδεθούν στον Linux server και να εκτελέσουν εντολές, απομακρυσμένα. Αυτές οι εντολές μπορούν να επιτρέψουν στους επιτιθέμενους να εξαπλωθούν μέσα στο δίκτυο, να κλέψουν δεδομένα ή να πραγματοποιήσουν μια ransomware επίθεση.

Η ευπάθεια στο Log4j library χρησιμοποιείται ήδη από πολλούς εγκληματίες για τη μόλυνση συσκευών με malware. Το Dridex banking trojan και το Meterpreter δεν είναι τα μόνα που εκμεταλλεύονται τη συγκεκριμένη κρίσιμη ευπάθεια.

Μάθετε περισσότερα: Log4Shell ευπάθεια: Hackers τη χρησιμοποιούν ήδη για malware επιθέσεις

Όλοι οι οργανισμοί πρέπει να ενημερώσουν τα συστήματά τους (version 2.17) και να πραγματοποιήσουν σάρωση για ευάλωτες εφαρμογές που χρησιμοποιούν το Log4j.

Πηγή: Bleeping Computer

The post Η ευπάθεια Log4j Log4Shell χρησιμοποιείται για την εγκατάσταση του Dridex banking trojan appeared first on SecNews.gr.

Home

%d bloggers like this: