Od počátku dneška až do současnosti odborníci JSOC CERT zaznamenali masivní zákeřnou distribuci šifrovacího viru Troldesh. Jeho funkčnost je širší než jen u šifrovače: kromě šifrovacího modulu má schopnost vzdáleně ovládat pracovní stanici a stahovat další moduly. V březnu tohoto roku jsme již o epidemii Troldesh - pak virus maskoval jeho doručení pomocí zařízení IoT. Nyní k tomu slouží zranitelné verze WordPressu a rozhraní cgi-bin.
Mailing je zasílán z různých adres a obsahuje v těle dopisu odkaz na kompromitované webové zdroje s komponentami WordPress. Odkaz obsahuje archiv obsahující skript v Javascriptu. V důsledku jeho spuštění se stáhne a spustí šifrovací nástroj Troldesh.
Škodlivé e-maily nejsou detekovány většinou bezpečnostních nástrojů, protože obsahují odkaz na legitimní webový zdroj, ale samotný ransomware je v současné době detekován většinou výrobců antivirového softwaru. Poznámka: Vzhledem k tomu, že malware komunikuje se servery C&C umístěnými v síti Tor, je potenciálně možné do infikovaného počítače stáhnout další externí zaváděcí moduly, které jej mohou „obohatit“.
Některé z obecných funkcí tohoto zpravodaje zahrnují:
(1) příklad předmětu newsletteru – „O objednávce“
(2) všechny odkazy jsou externě podobné - obsahují klíčová slova /wp-content/ a /doc/, například:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) malware přistupuje k různým řídicím serverům přes Tor
(4) je vytvořen soubor Název souboru: C:ProgramDataWindowscsrss.exe, registrovaný v registru ve větvi SOFTWAREMicrosoftWindowsCurrentVersionRun (název parametru - Client Server Runtime Subsystem).
Doporučujeme ujistit se, že vaše databáze antivirového softwaru jsou aktuální, zvážit informování zaměstnanců o této hrozbě a také pokud možno posílit kontrolu nad příchozími dopisy s výše uvedenými příznaky.
Zdroj: www.habr.com