З пачатку сённяшняга дня і па цяперашні час эксперты JSOC CERT фіксуюць масавую шкоднасную рассылку віруса-шыфравальшчыка Troldesh. Яго функцыянальнасць шырэй, чым проста ў шыфравальшчыка: акрамя модуля шыфравання ў ім ёсць магчымасць выдаленага кіравання працоўнай станцыяй і дазагрузкі дадатковых модуляў. У сакавіку гэтага года мы ўжо аб эпідэміі Troldesh - тады вірус маскіраваў сваю дастаўку з дапамогай IoT-прылад. Цяпер жа для гэтага выкарыстоўваюцца ўразлівыя версіі WordPress і інтэрфейсу cgi-bin.
Рассылка вядзецца з розных адрасоў і змяшчае ў целе ліста спасылку на скампраметаваныя web-рэсурсы з кампанентамі WordPress. Па спасылцы размяшчаецца архіў, утрымоўвальнай скрыпт на мове Javascript. У выніку яго выканання спампоўваецца і запускаецца шыфравальшчык Troldesh.
Шкоднасныя лісты не дэтэктуюцца большасцю сродкаў абароны, бо ўтрымоўваюць спасылку на легітымны web-рэсурс, аднак сам шыфравальшчык на бягучы момант дэтэктуецца большасцю вытворцаў сродкаў антывіруснага ПА. Адзначым: бо шкоднас мае зносіны з C&C-серверамі, размешчанымі ў сетцы Tor, патэнцыйна магчыма запампоўка на заражаную машыну дадатковых вонкавых модуляў нагрузкі, здольных «узбагаціць» яго.
З агульных прыкмет дадзенай рассылкі можна адзначыць:
(1) прыклад тэмы рассылкі - «Пра замову»
(2) усе спасылкі маюць знешняе падабенства - утрымоўваюць ключавыя словы /wp-content/ і /doc/, напрыклад:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) шкоднас звяртаецца праз Tor c рознымі серверамі кіравання
(4) ствараецца файл Filename: C:ProgramDataWindowscsrss.exe, у рэестры прапісваецца ў галінцы SOFTWAREMicrosoftWindowsCurrentVersionRun (імя параметра - Client Server Runtime Subsystem).
Мы рэкамендуем пераканацца ў актуальнасці баз сродкаў антывіруснага ПЗ, разгледзець магчымасць інфармавання супрацоўнікаў аб дадзенай пагрозе, а таксама па магчымасці ўзмацніць кантроль за ўваходнымі лістамі са згаданымі вышэй прыкметамі.
Крыніца: habr.com