ProHoster > Blog > administration > Troldesh i en ny maske: endnu en bølge af masseudsendelse af en ransomware-virus

Troldesh i en ny maske: endnu en bølge af masseudsendelse af en ransomware-virus

Fra begyndelsen af ​​i dag til i dag har JSOC CERT-eksperter registreret en massiv ondsindet distribution af Troldesh-krypteringsvirussen. Dens funktionalitet er bredere end blot en kryptering: Ud over krypteringsmodulet har den mulighed for at fjernstyre en arbejdsstation og downloade yderligere moduler. I marts i år har vi allerede informeret om Troldesh-epidemien - så maskerede virussen sin levering ved hjælp af IoT-enheder. Nu bruges sårbare versioner af WordPress og cgi-bin-grænsefladen til dette.

Troldesh i en ny maske: endnu en bølge af masseudsendelse af en ransomware-virus

Forsendelsen sendes fra forskellige adresser og indeholder i brødteksten et link til kompromitterede webressourcer med WordPress-komponenter. Linket indeholder et arkiv, der indeholder et script i Javascript. Som et resultat af dens udførelse downloades og lanceres Troldesh-krypteringen.

Ondsindede e-mails opdages ikke af de fleste sikkerhedsværktøjer, fordi de indeholder et link til en legitim webressource, men selve ransomwaren bliver i øjeblikket opdaget af de fleste producenter af antivirussoftware. Bemærk: da malwaren kommunikerer med C&C-servere placeret på Tor-netværket, er det potentielt muligt at downloade yderligere eksterne belastningsmoduler til den inficerede maskine, som kan "berige" den.

Nogle af de generelle funktioner i dette nyhedsbrev inkluderer:

(1) eksempel på et nyhedsbrevsemne - "Om bestilling"

(2) alle links ligner eksternt - de indeholder nøgleordene /wp-content/ og /doc/, for eksempel:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-akademiet[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) malwaren får adgang til forskellige kontrolservere via Tor

(4) en fil oprettes Filnavn: C:ProgramDataWindowscsrss.exe, registreret i registreringsdatabasen i SOFTWAREMicrosoftWindowsCurrentVersionRun-grenen (parameternavn - Client Server Runtime Subsystem).

Vi anbefaler, at du sørger for, at dine antivirussoftwaredatabaser er opdaterede, overvejer at informere medarbejderne om denne trussel, og også, hvis det er muligt, at styrke kontrollen over indgående breve med ovenstående symptomer.

Kilde: www.habr.com

Tilføj en kommentar