ProHoster > Blog > Amministrazione > Troldesh in una nova maschera: un'altra onda di mailing di massa di un virus ransomware

Troldesh in una nova maschera: un'altra onda di mailing di massa di un virus ransomware

Da u principiu di l'oghje à l'oghje, l'esperti JSOC CERT anu registratu una distribuzione massiccia maliciosa di u virus di criptografia Troldesh. A so funziunalità hè più larga di quella di un encryptor: in più di u modulu di criptografia, hà a capacità di cuntrullà remotamente una stazione di travagliu è scaricate moduli supplementari. In marzu di questu annu avemu digià infurmatu nantu à l'epidemie di Troldesh - allora u virus hà mascheratu a so consegna cù i dispositi IoT. Avà, versioni vulnerabili di WordPress è l'interfaccia cgi-bin sò usati per questu.

Troldesh in una nova maschera: un'altra onda di mailing di massa di un virus ransomware

U mailing hè mandatu da diverse indirizzi è cuntene in u corpu di a lettera un ligame à risorse web cumprumessi cù cumpunenti di WordPress. U ligame cuntene un archiviu chì cuntene un script in Javascript. In u risultatu di a so esecuzione, u criptu Troldesh hè scaricatu è lanciatu.

E-mail maliziusi ùn sò micca rilevati da a maiò parte di l'arnesi di sicurezza perchè cuntenenu un ligame à una risorsa web legittima, ma u ransomware stessu hè attualmente rilevatu da a maiò parte di i pruduttori di software antivirus. Nota: postu chì u malware cumunicà cù i servitori C&C situati in a reta Tor, hè potenzialmente pussibule di scaricà moduli di carica esterni supplementari à a macchina infettata chì pò "arricchisce".

Alcune di e caratteristiche generale di sta newsletter includenu:

(1) esempiu di un sughjettu di newsletter - "A propositu di l'ordine"

(2) tutti i ligami sò esterni simili - cuntenenu e parolle chjave /wp-content/ è /doc/, per esempiu:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-accademia[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) u malware accede à diversi servitori di cuntrollu via Tor

(4) un schedariu hè creatu Filename: C:ProgramDataWindowscsrss.exe, registratu in u registru in u SOFTWAREMicrosoftWindowsCurrentVersionRun branch (nome paràmetru - Client Server Runtime Subsystem).

Hè ricumandemu di assicurà chì e vostre basa di dati di u software antivirus sò aghjurnati, cunsiderendu l'informazioni di l'impiegati nantu à sta minaccia, è ancu, se pussibule, rinfurzà u cuntrollu di e lettere entrate cù i sintomi sopra.

Source: www.habr.com

Add a comment