Od početka danas do danas, stručnjaci JSOC CERT-a zabilježili su ogromnu zlonamjernu distribuciju Troldesh virusa za šifriranje. Njegova funkcionalnost je šira nego samo kod enkriptora: pored modula za šifriranje, ima mogućnost daljinske kontrole radne stanice i preuzimanja dodatnih modula. U martu ove godine već smo o epidemiji Troldesh - tada je virus maskirao svoju isporuku koristeći IoT uređaje. Sada se za to koriste ranjive verzije WordPress-a i cgi-bin interfejs.
Pošta se šalje s različitih adresa i sadrži u tijelu pisma link do kompromitovanih web resursa sa WordPress komponentama. Veza sadrži arhivu koja sadrži skriptu u Javascript-u. Kao rezultat njegovog izvršenja, Troldesh enkriptor se preuzima i pokreće.
Većina sigurnosnih alata ne otkriva zlonamjerne e-poruke jer sadrže vezu do legitimnog web resursa, ali sam ransomware trenutno otkriva većina proizvođača antivirusnog softvera. Napomena: budući da zlonamjerni softver komunicira sa C&C serverima koji se nalaze na Tor mreži, potencijalno je moguće preuzeti dodatne eksterne module učitavanja na zaraženu mašinu koji ga mogu „obogatiti“.
Neke od općih karakteristika ovog biltena uključuju:
(1) primjer teme biltena - “O naručivanju”
(2) svi linkovi su eksterno slični - sadrže ključne riječi /wp-content/ i /doc/, na primjer:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) zlonamjerni softver pristupa raznim kontrolnim serverima putem Tor-a
(4) kreira se datoteka Ime datoteke: C:ProgramDataWindowscsrss.exe, registrovana u registru u grani SOFTWAREMicrosoftWindowsCurrentVersionRun (naziv parametra – podsistem Client Server Runtime).
Preporučujemo da provjerite jesu li vaše baze podataka antivirusnog softvera ažurne, razmislite o obavještavanju zaposlenika o ovoj prijetnji, a također, ako je moguće, pojačate kontrolu nad pristiglim pismima s gore navedenim simptomima.
izvor: www.habr.com