Troldesh Π² Π½ΠΎΠ²ΠΎΠΉ маскС: очСрСдная Π²ΠΎΠ»Π½Π° массовой рассылки вируса-ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠ°

Π‘ Π½Π°Ρ‡Π°Π»Π° сСгодняшнСго дня ΠΈ ΠΏΠΎ настоящСС врСмя экспСрты JSOC CERT Ρ„ΠΈΠΊΡΠΈΡ€ΡƒΡŽΡ‚ ΠΌΠ°ΡΡΠΎΠ²ΡƒΡŽ Π²Ρ€Π΅Π΄ΠΎΠ½ΠΎΡΠ½ΡƒΡŽ рассылку вируса-ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠ° Troldesh. Π•Π³ΠΎ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ ΡˆΠΈΡ€Π΅, Ρ‡Π΅ΠΌ просто Ρƒ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠ°: ΠΏΠΎΠΌΠΈΠΌΠΎ модуля ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ Π² Π½Π΅ΠΌ Π΅ΡΡ‚ΡŒ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ управлСния Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ станциСй ΠΈ Π΄ΠΎΠ·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ. Π’ ΠΌΠ°Ρ€Ρ‚Π΅ этого Π³ΠΎΠ΄Π° ΠΌΡ‹ ΡƒΠΆΠ΅ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠΈΡ€ΠΎΠ²Π°Π»ΠΈ ΠΎΠ± эпидСмии Troldesh β€” Ρ‚ΠΎΠ³Π΄Π° вирус маскировал свою доставку с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ IoT-устройств. Π’Π΅ΠΏΠ΅Ρ€ΡŒ ΠΆΠ΅ для этого ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ уязвимыС вСрсии WordPress ΠΈ интСрфСйса cgi-bin.

Troldesh Π² Π½ΠΎΠ²ΠΎΠΉ маскС: очСрСдная Π²ΠΎΠ»Π½Π° массовой рассылки вируса-ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠ°

Рассылка вСдСтся с Ρ€Π°Π·Π½Ρ‹Ρ… адрСсов ΠΈ содСрТит Π² Ρ‚Π΅Π»Π΅ письма ссылку Π½Π° скомпромСтированныС web-рСсурсы с ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Π°ΠΌΠΈ WordPress. По ссылкС располагаСтся Π°Ρ€Ρ…ΠΈΠ², содСрТащСй скрипт Π½Π° языкС Javascript. Π’ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ Π΅Π³ΠΎ исполнСния скачиваСтся ΠΈ запускаСтся ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Troldesh.

ВрСдоносныС письма Π½Π΅ Π΄Π΅Ρ‚Π΅ΠΊΡ‚ΠΈΡ€ΡƒΡŽΡ‚ΡΡ Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²ΠΎΠΌ срСдств Π·Π°Ρ‰ΠΈΡ‚Ρ‹, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ содСрТат ссылку Π½Π° Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΉ web-рСсурс, ΠΎΠ΄Π½Π°ΠΊΠΎ сам ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Π½Π° Ρ‚Π΅ΠΊΡƒΡ‰ΠΈΠΉ ΠΌΠΎΠΌΠ΅Π½Ρ‚ дСтСктируСтся Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²ΠΎΠΌ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»Π΅ΠΉ срСдств антивирусного ПО. ΠžΡ‚ΠΌΠ΅Ρ‚ΠΈΠΌ: Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ врСдонос общаСтся с C&C-сСрвСрами, располоТСнными Π² сСти Tor, ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎ скачиваниС Π½Π° Π·Π°Ρ€Π°ΠΆΠ΅Π½Π½ΡƒΡŽ ΠΌΠ°ΡˆΠΈΠ½Ρƒ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… Π²Π½Π΅ΡˆΠ½ΠΈΡ… ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ, способных Β«ΠΎΠ±ΠΎΠ³Π°Ρ‚ΠΈΡ‚ΡŒΒ» Π΅Π³ΠΎ.

Из ΠΎΠ±Ρ‰ΠΈΡ… ΠΏΡ€ΠΈΠ·Π½Π°ΠΊΠΎΠ² Π΄Π°Π½Π½ΠΎΠΉ рассылки ΠΌΠΎΠΆΠ½ΠΎ ΠΎΡ‚ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ:

(1) ΠΏΡ€ΠΈΠΌΠ΅Ρ€ Ρ‚Π΅ΠΌΡ‹ рассылки β€” «О Π·Π°ΠΊΠ°Π·Π΅Β»

(2) всС ссылки ΠΈΠΌΠ΅ΡŽΡ‚ внСшнСС сходство β€” содСрТат ΠΊΠ»ΡŽΡ‡Π΅Π²Ρ‹Π΅ слова /wp-content/ ΠΈ /doc/, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-academy[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) врСдонос обращаСтся Ρ‡Π΅Ρ€Π΅Π· Tor c Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹ΠΌΠΈ сСрвСрами управлСния

(4) создаСтся Ρ„Π°ΠΉΠ» Filename: C:ProgramDataWindowscsrss.exe, Π² рССстрС прописываСтся Π² Π²Π΅Ρ‚ΠΊΠ΅ SOFTWAREMicrosoftWindowsCurrentVersionRun (имя ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° β€” Client Server Runtime Subsystem).

ΠœΡ‹ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄ΡƒΠ΅ΠΌ ΡƒΠ±Π΅Π΄ΠΈΡ‚ΡŒΡΡ Π² Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ Π±Π°Π· срСдств антивирусного ПО, Ρ€Π°ΡΡΠΌΠΎΡ‚Ρ€Π΅Ρ‚ΡŒ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ информирования сотрудников ΠΎ Π΄Π°Π½Π½ΠΎΠΉ ΡƒΠ³Ρ€ΠΎΠ·Π΅, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΏΠΎ возмоТности ΡƒΡΠΈΠ»ΠΈΡ‚ΡŒ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒ Π·Π° входящими письмами с ΡƒΠΊΠ°Π·Π°Π½Π½Ρ‹ΠΌΠΈ Π²Ρ‹ΡˆΠ΅ ΠΏΡ€ΠΈΠ·Π½Π°ΠΊΠ°ΠΌΠΈ.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com