Publicidade

Falha Log4J também é usada para instalar malware bancário

Por| Editado por Claudio Yuge | 21 de Dezembro de 2021 às 15h20

Link copiado!

Reprodução/NomadSoul1 (Envato)
Reprodução/NomadSoul1 (Envato)

A vulnerabilidade Log4J, considerada uma das mais perigosas dos últimos anos, segue sendo usada pelos criminosos para diferentes ataques que, agora, envolvem um dos malwares bancários mais conhecidos do mundo. Foram identificadas contaminações de sistemas com o Dridex, praga focada no roubo de credenciais mas que também pode ser utilizada como ponto de entrada para outros tipos de comprometimento como espionagem e ransomware.

De acordo com o Cryptolaemus, grupo especializado em segurança e criptomoedas, incidentes já foram registrados tanto em dispositivos Windows quanto Linux; no segundo caso, o trojan instalado é o Meterpreter. Os ataques seriam obra de uma quadrilha conhecida como Evil Corp, notória no ramo dos ataques bancários e comprometimentos de carteiras e ativos em criptomoedas.

Segundo os especialistas, o ataque utiliza uma das variações do Log4J para executar classes em Java de servidores controlados pelos criminosos, realizando o download da solução maliciosa. Comandos em Windows são experimentados primeiro e, caso eles não funcionem e o Dridex não seja baixado, a exploração entende estar trabalhando com um sistema Linux, executando um script em Python para trazer o Meterpreter à máquina.

Continua após a publicidade

A partir daí, a porta que já estava aberta se torna escancarada e, enquanto realiza suas ações básicas focadas em roubo de credenciais, a praga se mantém aberta para receber novos comandos ou baixar demais soluções maliciosas. O Cryptolaemus também fala em possibilidade de movimentação lateral, roubo de dados e, claro, a detonação de ataques de ransomware, que acaba sendo o maior perigo diante de uma vulnerabilidade que não exige ações internas para serem realizadas.

O que é Log4J

Continua após a publicidade

Revelada na última semana, a vulnerabilidade em um sistema de registro de ações e erros em Java levou a um apocalipse de segurança digital neste final de ano. A brecha atingiu tanto sistemas corporativos quanto softwares para o consumidor, como Steam e o game de sucesso Minecraft, permitindo que ações maliciosas e comandos remotos sejam dados sem a necessidade de roubo de credenciais, intrusões ou outros tipos de comandos diretos.

Basta mandar códigos criados de forma específica para que os sistemas façam contato, por exemplo, com servidores maliciosos e detonem ataques devastadores. Inicialmente, a vulnerabilidade Log4J vinha sendo usada para baixar mineradores de criptomoedas, mas menos de uma semana depois, já surgiram os relatos de golpes envolvendo ransomware e, agora, também trojans bancários. De acordo com os dados mais recentes, divulgados nesta segunda (20) pela Check Point Research, já são mais de 4,3 milhões de incidentes registrados em todo o mundo.

A brecha é de ampla penetração, estando disponíveis em centenas de softwares e sistemas operacionais, o que a torna um prato cheio para criminosos mesmo com atualizações disponíveis. Enquanto os updates não são aplicados, empresas de segurança também apostam em mecanismos de mitigação e scanners que facilitam a localização de instâncias vulneráveis e a tomada de decisão pelos administradores.

Fonte: Bleeping Computer