منذ بداية اليوم وحتى الوقت الحاضر، اكتشف خبراء JSOC CERT رسائل بريدية ضارة ضخمة لفيروس تشفير Troldesh. وظيفتها أوسع من وظيفة التشفير البسيط: بالإضافة إلى وحدة التشفير، لديها القدرة على التحكم عن بعد في محطة العمل وإعادة تحميل وحدات إضافية. في شهر مارس من هذا العام، نحن حول وباء Troldesh - ثم قام الفيروس بإخفاء توصيله باستخدام أجهزة إنترنت الأشياء. الآن، يتم استخدام الإصدارات الضعيفة من WordPress وواجهة cgi-bin لهذا الغرض.
يتم إرسال البريد من عناوين مختلفة ويحتوي في نص الرسالة على رابط لموارد الويب المخترقة باستخدام مكونات WordPress. يحتوي الرابط على أرشيف يحتوي على برنامج جافا سكريبت. ونتيجة لتنفيذه، يتم تنزيل برنامج تشفير Troldesh وتشغيله.
لا تكتشف معظم أدوات الأمان رسائل البريد الإلكتروني الضارة لأنها تحتوي على رابط لمورد ويب شرعي، ولكن يتم اكتشاف برنامج التشفير نفسه حاليًا بواسطة معظم موردي برامج مكافحة الفيروسات. ملاحظة: نظرًا لأن البرنامج الضار يتواصل مع خوادم القيادة والتحكم الموجودة في شبكة Tor، فمن المحتمل تنزيل وحدات تحميل خارجية إضافية إلى الجهاز المصاب والتي يمكنها "إثرائها".
تشمل الميزات الشائعة لهذا التوزيع ما يلي:
(1) مثال على الموضوع البريدي - "حول الطلب"
(2) جميع الروابط لها تشابه خارجي - فهي تحتوي على الكلمات الرئيسية /wp-content/ و /doc/، على سبيل المثال:
هورسسموث[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
Chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) تصل البرامج الضارة عبر Tor عبر خوادم تحكم مختلفة
(4) تم إنشاء اسم الملف: C:ProgramDataWindowscsrss.exe، المسجل في التسجيل في فرع SOFTWAREMicrosoftWindowsCurrentVersionRun (اسم المعلمة هو النظام الفرعي لوقت تشغيل خادم العميل).
نوصيك بالتأكد من تحديث قواعد بيانات برامج مكافحة الفيروسات لديك، والتفكير في إبلاغ الموظفين بهذا التهديد، وتشديد الرقابة، إن أمكن، على رسائل البريد الإلكتروني الواردة التي تحتوي على الأعراض المذكورة أعلاه.
المصدر: www.habr.com