Vulnerabilidad Log4j utilizada para instalar malware bancario Dridex en Windows y Linux

La explotación de la vulnerabilidad Log4j RMI (Remote Method Invocation) provoca que dispositivos vulnerables (Windows y Linux) carguen y ejecuten una clase Java desde un servidor remoto controlado por un atacante, con el objetivo de instalar el troyano bancario Dridex.

Una vez que el atacante logra cargar y ejecutar la clase Java maliciosa en el equipo de la víctima, ésta intentara descargar e iniciar un archivo de Aplicación HTML (HTA) logrando instalar el malware Dridex. Dridex (también conocido como Cridex o Bugat) es uno de los troyanos bancarios tecnológicamente más avanzados actualmente activos, tiene como objetivo principal el robo de credenciales bancarias y cuentas de múltiples servicios.

En Windows, la clase Java maliciosa descargará y abrirá un archivo de Aplicación HTML (HTA), creando así un archivo VBS (Visual Basic Script) en la carpeta C:/ProgramData. Una vez ejecutado el archivo VBS (Visual Basic Script) verificará si el usuario es parte de un dominio de Windows, comprobando varias variables de entorno. Si el usuario es parte de un dominio, el archivo VBS (Visual Basic Script) descargará el malware Dridex en formato DLL y lo ejecutará utilizando Rundll32.exe, infectando así al equipo.

En caso de que la clase Java maliciosa no pueda ejecutar comandos de Windows, esta asumirá que el equipo a comprometer es un Linux, descargando así un script en Python denominado “m.py”, el cual contiene un script codificado en base64; este se ejecutará para instalar una consola Meterpreter pudiendo el atacante conectarse al servidor Linux comprometido para finalmente realizar ejecución de comandos remota.

Algunas de las recomendaciones a seguir son:

• Implementar políticas de backup, manteniendo la información sensible en un lugar seguro, aislado de las redes locales donde podría estar comprometida, sin actualización en tiempo real y utilizando factor de doble autenticación para el acceso y modificación de estos.
• Monitorear, buscar y analizar tráfico SSL o TLS en puertos donde usualmente no se los utilizan.

• Implementar un procedimiento de instalación de parches y actualizaciones.
• Actualizar regularmente el software antivirus o software antimalware en los equipos críticos.
• Requerir de contraseña para la desactivación del antivirus.

Para una lista mas detallada acerca de las recomendaciones a seguir, visitar el siguiente enlace:

• https://www.ociso.ucla.edu/news/dridex-banking-trojan-infections-and-powershell-empire-activity-preceding-bitpaymer-ransomware

Referencias:

• https://www.cisa.gov/uscert/ncas/alerts/aa19-339a
• https://www.ociso.ucla.edu/news/dridex-banking-trojan-infections-and-powershell-empire-activity-preceding-bitpaymer-ransomware
• https://attack.mitre.org/software/S0384/