ProHoster > Blog > administrasie > Troldesh in 'n nuwe masker: nog 'n golf van massapos van 'n ransomware-virus

Troldesh in 'n nuwe masker: nog 'n golf van massapos van 'n ransomware-virus

Van die begin van vandag tot die hede het JSOC CERT-kundiges 'n massiewe kwaadwillige verspreiding van die Troldesh-enkripteervirus aangeteken. Die funksionaliteit daarvan is breër as net dié van 'n enkripteerder: benewens die enkripsiemodule, het dit die vermoë om 'n werkstasie op afstand te beheer en bykomende modules af te laai. In Maart vanjaar het ons reeds ingelig oor die Troldesh-epidemie - toe verberg die virus die aflewering daarvan met behulp van IoT-toestelle. Nou word kwesbare weergawes van WordPress en die cgi-bin-koppelvlak hiervoor gebruik.

Troldesh in 'n nuwe masker: nog 'n golf van massapos van 'n ransomware-virus

Die pos word vanaf verskillende adresse gestuur en bevat in die liggaam van die brief 'n skakel na gekompromitteerde webbronne met WordPress-komponente. Die skakel bevat 'n argief wat 'n script in Javascript bevat. As gevolg van die uitvoering daarvan, word die Troldesh-enkripteerder afgelaai en van stapel gestuur.

Kwaadwillige e-posse word nie deur die meeste sekuriteitsnutsmiddels opgespoor nie, want dit bevat 'n skakel na 'n wettige webhulpbron, maar die losprysware self word tans deur die meeste antivirusprogrammatuurvervaardigers opgespoor. Let wel: aangesien die wanware kommunikeer met C&C-bedieners wat op die Tor-netwerk geleë is, is dit moontlik om bykomende eksterne laaimodules af te laai na die besmette masjien wat dit kan “verryk”.

Sommige van die algemene kenmerke van hierdie nuusbrief sluit in:

(1) voorbeeld van 'n nuusbriefonderwerp - "Oor bestellings"

(2) alle skakels is ekstern soortgelyk - hulle bevat die sleutelwoorde /wp-content/ en /doc/, byvoorbeeld:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-akademie[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) die wanware verkry toegang tot verskeie beheerbedieners via Tor

(4) 'n lêer word geskep Lêernaam: C:ProgramDataWindowscsrss.exe, geregistreer in die register in die SOFTWAREMicrosoftWindowsCurrentVersionRun-tak (parameternaam - Client Server Runtime Subsystem).

Ons beveel aan om seker te maak dat jou anti-virus sagteware databasisse op datum is, oorweeg dit om werknemers in te lig oor hierdie bedreiging, en ook, indien moontlik, om beheer oor inkomende briewe met bogenoemde simptome te versterk.

Bron: will.com

Voeg 'n opmerking