Troldesh у новай масцы: чарговая хваля масавай рассылкі віруса-шыфравальшчыка

З пачатку сённяшняга дня і па цяперашні час эксперты JSOC CERT фіксуюць масавую шкоднасную рассылку віруса-шыфравальшчыка Troldesh. Яго функцыянальнасць шырэй, чым проста ў шыфравальшчыка: акрамя модуля шыфравання ў ім ёсць магчымасць выдаленага кіравання працоўнай станцыяй і дазагрузкі дадатковых модуляў. У сакавіку гэтага года мы ўжо інфармавалі об эпидемии Troldesh — тогда вирус маскировал свою доставку с помощью IoT-устройств. Теперь же для этого используются уязвимые версии WordPress и интерфейса cgi-bin.

Рассылка ведется с разных адресов и содержит в теле письма ссылку на скомпрометированные web-ресурсы с компонентами WordPress. По ссылке располагается архив, содержащей скрипт на языке Javascript. В результате его исполнения скачивается и запускается шифровальщик Troldesh.

Шкоднасныя лісты не дэтэктуюцца большасцю сродкаў абароны, бо ўтрымоўваюць спасылку на легітымны web-рэсурс, аднак сам шыфравальшчык на бягучы момант дэтэктуецца большасцю вытворцаў сродкаў антывіруснага ПА. Адзначым: бо шкоднас мае зносіны з C&C-серверамі, размешчанымі ў сетцы Tor, патэнцыйна магчыма запампоўка на заражаную машыну дадатковых вонкавых модуляў нагрузкі, здольных «узбагаціць» яго.

З агульных прыкмет дадзенай рассылкі можна адзначыць:

(1) прыклад тэмы рассылкі - «Пра замову»

(2) усе спасылкі маюць знешняе падабенства - утрымоўваюць ключавыя словы /wp-content/ і /doc/, напрыклад:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-academy[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) шкоднас звяртаецца праз Tor c рознымі серверамі кіравання

(4) создается файл Filename: C:ProgramDataWindowscsrss.exe, в реестре прописывается в ветке SOFTWAREMicrosoftWindowsCurrentVersionRun (имя параметра — Client Server Runtime Subsystem).

Мы рэкамендуем пераканацца ў актуальнасці баз сродкаў антывіруснага ПЗ, разгледзець магчымасць інфармавання супрацоўнікаў аб дадзенай пагрозе, а таксама па магчымасці ўзмацніць кантроль за ўваходнымі лістамі са згаданымі вышэй прыкметамі.

Крыніца: habr.com