Troldesh в нова маска: поредната вълна от масово изпращане на вирус на ransomware

От началото на днес до днес експертите на JSOC CERT са регистрирали масово злонамерено разпространение на криптиращия вирус Troldesh. Неговата функционалност е по-широка от тази на шифратор: в допълнение към модула за шифроване, той има възможност за дистанционно управление на работна станция и изтегляне на допълнителни модули. През март тази година ние вече информиран за епидемията Troldesh - тогава вирусът маскира доставката си с помощта на IoT устройства. Сега за това се използват уязвими версии на WordPress и интерфейса cgi-bin.

Пощата се изпраща от различни адреси и съдържа в тялото на писмото връзка към компрометирани уеб ресурси с компоненти на WordPress. Връзката съдържа архив, съдържащ скрипт в Javascript. В резултат на неговото изпълнение се изтегля и стартира шифраторът Troldesh.

Злонамерените имейли не се откриват от повечето инструменти за сигурност, тъй като съдържат връзка към легитимен уеб ресурс, но самият ransomware в момента се открива от повечето производители на антивирусен софтуер. Забележка: тъй като злонамереният софтуер комуникира с C&C сървъри, разположени в мрежата Tor, потенциално е възможно да се изтеглят допълнителни външни модули за зареждане на заразената машина, които могат да я „обогатят“.

Някои от общите характеристики на този бюлетин включват:

(1) пример за тема на бюлетин - „Относно поръчката“

(2) всички връзки са външно сходни - съдържат ключовите думи /wp-content/ и /doc/, например:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-academy[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) зловредният софтуер осъществява достъп до различни контролни сървъри чрез Tor

(4) създава се файл с име на файл: C:ProgramDataWindowscsrss.exe, регистриран в системния регистър в клона SOFTWAREMicrosoftWindowsCurrentVersionRun (име на параметър - Client Server Runtime Subsystem).

Препоръчваме ви да се уверите, че вашите бази данни с антивирусен софтуер са актуални, да обмислите информирането на служителите за тази заплаха и също така, ако е възможно, да засилите контрола върху входящите писма с горните симптоми.

Източник: www.habr.com