E' una presenza fissa dei bollettini informativi settimanali del CERT-AgID: basta cercare "Dridex" nella barra di ricerca del sito https://cert-agid.gov.it per vedere confermata la sua circolazione in Italia dai dati telemetrici. La novità, preoccupante, è che Dridex non viene più diffuso soltanto tramite email di phsihing ma, come gran parte del cyber crime, sta approfittando della grave vulnerabilità Log4Shell della libreria Java Log4j. Andiamo con ordine.
Dridex in breve
Dridex è un malware bancario: è in diffusione dal 2011, ma ha subito negli anni vari upgrade divenendo una minaccia molto sofisticata. Nel 2020 è entrato nella lista dei top10 malware più diffusi al mondo. In Italia è una presenza fissa ormai, tantoché il nostro paese è considerato uno di quelli maggiormente impattati da questa cyber minaccia.
Nato come malware finalizzato al furto di credenziali bancarie online si è evoluto nel tempo fino a divenire un downloader: viene usato cioè per scaricare e attivare vari moduli che eseguono diverse attività dannose come installare ulteriori payload, diffondersi su altri dispositivi, fare screenshot e fungere da keylogger ecc.. Note e famigerate sono ormai le sue collaborazioni con i ransomware: Dridex funge da downloader dei ransomware BitPaymer e DopplePaymer permettendo di monetizzare al massimo un attacco.
Dridex: come si diffonde?
La metodologia di diffusione di Dridex è piuttosto scontata: "viaggia" sulla scia di campagne di email di spam a livello mondiale. Sono attacchi di phishing con un ampio ricorso ai trucchi dell'ingegneria sociale, nel tentativo di convincere le vittime ad aprire l'allegato contenuto nelle email.Un esempio è disponibile sul sito del nostro CSIRT > Campagna malspam diffonde Dridex (AL01/201123/CSIRT-ITA)
Non solo: Dridex è stato in diffusione anche la scorsa settimana in Italia. Il CERT riferisce di aver individuato e analizzato un campagna di diffusione generica, ma veicolata anche in Italia. La campagna è a tema Pagamenti e contiene allegati email in formato .XLS. Il gioco poi è semplice: una volta che la vittima scarica ed apre l'allegato visualizza la richiesta di abilitazione delle macro. Le macro, una volta abilitate, attivano la catena di infezione.
Per approfondire > Gli allegati email più usati per infettare Windows
La novità: Dridex sfrutta Log4Shell
L'alert viene dal gruppo di ricercatori Cryptolaemus che monitora da anni malware del calibro di Emotet, Trickbot e Dridex appunto. L'alert è chiaro: hanno assistito all'utilizzo di Log4Shell in the wild, ovvero in attacchi reali, per la diffusione del trojan Dridex sui dispositivi Windows e del trojan Meterpreter sui dispositivi Linux.
We have verified distribution of #Dridex 22203 on Windows via #Log4j #Log4Shell. Class > MSHTA > VBS > rundll32.
— Cryptolaemus (@Cryptolaemus1) December 20, 2021
Class: https://t.co/ivdZSd1QGR
Payload URLs: https://t.co/RoZubNKUs5
DLL sample: https://t.co/6P8aHdim8v
HTA > DLL run: https://t.co/KdGZfmHkMN pic.twitter.com/IsoYWfdKcq
Log4Shell in breve
Log4Shell è considerata la vulnerabilità dell'anno, con un un punteggio di criticità di 10/10. La CVE-2021-44228, ribattezzata Log4Shell, è una vulnerabilità che consente l'esecuzione di codice da remoto senza necessità di autenticazione e può essere sfruttata per eseguire codice arbitrario su applicazioni e server basati su Java che eseguono la libreria Log4j. E' quasi onnipresente nei servizi utilizzati dalle aziende, ma affligge anche applicazioni usate da home user: paradossalmente uno dei primi a pubblicare la patch per questa vulnerabilità è stato il popolarissimo gioco Minecraft. Per i servizi aziendali è presente dai software alle app web nei prodotti Apple, Amazon, CloudFlare, Twitter, Steam, Tencent, Baidu ecc... Altri progetti open source come Redis, ElastichSearch, Elastic Logstash ecc.. utilizzano in parte questa libreria.
In caso un attaccante riesca a sfruttare con successo questa vulnerabilità può assumere il controllo totale dei sistemi che usano Log4j 2.0-beta9 fino alla versione 2.16.0.
Ricordiamo che la vulnerabilità è stata risolta nella versione Log4j 2.17.0, scaricabile qui. Consigliamo l'update prima possibile!
Per approfondire > Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)
Dridex e Log4Shell: catena di infezione
Il gruppo che gestisce Dridex (si suppone il gruppo di cyber criminali Evil Corp) usa la variante di exploit Log4j RMI, per forzare i dispositivi vulnerabili a caricare ed eseguire una classe Java da un server controllato da remoto.
Questa classe Java tenta per prima cosa di scaricare ed eseguire un file HTA da vari URL: questo file conduce all'installazione di Dridex. Se non è possibile eseguire comandi Windows, il malware penserà di essere in esecuzione su un ambiente Linux / Unix, quindi scarica ed esegue uno script Python per installare Meterpreter. L'uso di Meterpreter consente agli attaccanti di disporre di una shell remota che possono usare sia per distribuire ulteriori payload sia per eseguire comandi.
Su Windows invece, il file HTA crea un file VBS nella cartella C:\ProgramData. E' questo file VBS a fungere da vero downloader di Dridex, esattamente come già avviene nelle campagne di diffusione via allegati email.
Cambia il punto di accesso, resta invariata la capacità di diffusione
Log4Shell è quindi, in breve, soltanto un nuovo mezzo che Dridex utilizza per infettare dispositivi. Una volta nei dispositivi, il file VBS esegue le azioni per le quali già è conosciuto: verifica se l'utente è parte di dominio Windows verificando vari parametri ambientali. In caso di conferma, scarica la libreria DLL di Dridex eseguendo Rundll32.exe.
Fonte: Cryptolaemus |
Conclusioni: update, update update!
Abbiamo già parlato sia di ransomware che miner di criptovalute che sfruttano la stessa vulnerabilità e anche dell'uso illegittimo di Cobal Strike diffuso tramite Log4Shell (vedi qui). Dridex è solo l'ennesima minaccia che sta sfruttando Log4Shell.
Apache Foundation ha risolto la vulnerabilità, quindi invitiamo a scaricare ed eseguire la versione più recente, la Log4j 2.17.0, scaricabile qui.
Qui segnaliamo gli IoC messi a disposizione dal CERT > CERT-AgID condivide gli IoC per la mitigazione degli attacchi Log4shell
Nessun commento:
Posta un commento