Pelaku ancaman sekarang mengeksploitasi kerentanan penting Apache Log4j bernama Log4Shell untuk menginfeksi perangkat yang rentan dengan trojan perbankan Dridex atau Meterpreter yang terkenal jahat.
Malware Dridex adalah trojan perbankan yang awalnya dikembangkan untuk mencuri kredensial perbankan online dari para korban. Namun, seiring waktu, malware telah berkembang menjadi pemuat yang mengunduh berbagai modul yang dapat digunakan untuk melakukan berbagai perilaku jahat, seperti memasang muatan tambahan, menyebar ke perangkat lain, mengambil tangkapan layar, dan banyak lagi.
Kemarin, kelompok riset keamanan siber Cryptolaemus memperingatkan bahwa kerentanan Log4j sekarang dieksploitasi untuk menginfeksi perangkat Windows dengan Trojan Dridex dan perangkat Linux dengan Meterpreter.
Anggota Cryptolaemus Joseph Roosen mengatakan kepada BleepingComputer bahwa pelaku ancaman menggunakan varian eksploitasi Log4j RMI (Remote Method Invocation) untuk memaksa perangkat yang rentan memuat dan mengeksekusi Java class dari server jarak jauh yang dikendalikan penyerang.
Saat dijalankan, Java class pertama-tama akan mencoba mengunduh dan meluncurkan file HTA dari berbagai URL, yang akan menginstal trojan Dridex.
Jika tidak dapat menjalankan perintah Windows, itu akan menganggap perangkat menjalankan Linux/Unix dan mengunduh dan menjalankan skrip Python untuk menginstal Meterpreter.
Menjalankan Meterpreter pada Linux akan memberi pelaku ancaman shell jarak jauh yang dapat mereka gunakan untuk menyebarkan muatan lebih lanjut atau menjalankan perintah.
Dengan Log4j dieksploitasi oleh pelaku ancaman untuk menginstal berbagai malware, tidak mengherankan bahwa operasi malware yang lebih aktif akan mulai menargetkan kerentanan.
Oleh karena itu, sangat disarankan agar semua organisasi memindai aplikasi rentan yang menggunakan Log4j dan memperbaruinya ke versi terbaru.
Ini termasuk memperbarui Log4j ke versi terbaru, versi 2.17, dirilis Sabtu ini untuk memperbaiki kerentanan penolakan layanan baru.
Selengkapnya: Bleeping Computer