ProHoster > Bloc > Administració > Troldesh amb una màscara nova: una altra onada de correu massiu d'un virus de ransomware

Troldesh amb una màscara nova: una altra onada de correu massiu d'un virus de ransomware

Des del principi d'avui fins a l'actualitat, els experts de JSOC CERT han registrat una distribució maliciosa massiva del virus de xifratge Troldesh. La seva funcionalitat és més àmplia que la d'un xifrador: a més del mòdul de xifratge, té la possibilitat de controlar remotament una estació de treball i descarregar mòduls addicionals. El març d'enguany ja estem informat sobre l'epidèmia de Troldesh; aleshores el virus va emmascarar el seu lliurament mitjançant dispositius IoT. Ara, s'utilitzen versions vulnerables de WordPress i la interfície cgi-bin per a això.

Troldesh amb una màscara nova: una altra onada de correu massiu d'un virus de ransomware

El correu s'envia des de diferents adreces i conté al cos de la carta un enllaç a recursos web compromesos amb components de WordPress. L'enllaç conté un arxiu que conté un script en Javascript. Com a resultat de la seva execució, el xifrador Troldesh es baixa i es posa en marxa.

La majoria de les eines de seguretat no detecten correus electrònics maliciosos perquè contenen un enllaç a un recurs web legítim, però el mateix ransomware el detecten actualment la majoria dels fabricants de programari antivirus. Nota: com que el programari maliciós es comunica amb servidors C&C situats a la xarxa Tor, és possible que es puguin descarregar mòduls de càrrega externs addicionals a la màquina infectada que la puguin "enriquir".

Algunes de les característiques generals d'aquest butlletí inclouen:

(1) exemple d'un tema de butlletí - "Sobre la comanda"

(2) tots els enllaços són similars externament: contenen les paraules clau /wp-content/ i /doc/, per exemple:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-acadèmia[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) el programari maliciós accedeix a diversos servidors de control mitjançant Tor

(4) es crea un fitxer Nom de fitxer: C:ProgramDataWindowscsrss.exe, registrat al registre de la branca SOFTWAREMicrosoftWindowsCurrentVersionRun (nom del paràmetre - Subsistema d'execució del servidor de client).

Us recomanem que us assegureu que les vostres bases de dades de programari antivirus estiguin actualitzades, considereu informar els empleats sobre aquesta amenaça i també, si és possible, reforçar el control de les cartes entrants amb els símptomes anteriors.

Font: www.habr.com

Afegeix comentari