Des del principi d'avui fins a l'actualitat, els experts de JSOC CERT han registrat una distribució maliciosa massiva del virus de xifratge Troldesh. La seva funcionalitat és més àmplia que la d'un xifrador: a més del mòdul de xifratge, té la possibilitat de controlar remotament una estació de treball i descarregar mòduls addicionals. El març d'enguany ja estem
El correu s'envia des de diferents adreces i conté al cos de la carta un enllaç a recursos web compromesos amb components de WordPress. L'enllaç conté un arxiu que conté un script en Javascript. Com a resultat de la seva execució, el xifrador Troldesh es baixa i es posa en marxa.
La majoria de les eines de seguretat no detecten correus electrònics maliciosos perquè contenen un enllaç a un recurs web legítim, però el mateix ransomware el detecten actualment la majoria dels fabricants de programari antivirus. Nota: com que el programari maliciós es comunica amb servidors C&C situats a la xarxa Tor, és possible que es puguin descarregar mòduls de càrrega externs addicionals a la màquina infectada que la puguin "enriquir".
Algunes de les característiques generals d'aquest butlletí inclouen:
(1) exemple d'un tema de butlletí - "Sobre la comanda"
(2) tots els enllaços són similars externament: contenen les paraules clau /wp-content/ i /doc/, per exemple:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) el programari maliciós accedeix a diversos servidors de control mitjançant Tor
(4) es crea un fitxer Nom de fitxer: C:ProgramDataWindowscsrss.exe, registrat al registre de la branca SOFTWAREMicrosoftWindowsCurrentVersionRun (nom del paràmetre - Subsistema d'execució del servidor de client).
Us recomanem que us assegureu que les vostres bases de dades de programari antivirus estiguin actualitzades, considereu informar els empleats sobre aquesta amenaça i també, si és possible, reforçar el control de les cartes entrants amb els símptomes anteriors.
Font: www.habr.com