Von heute an bis heute haben Experten des JSOC CERT eine massive böswillige Verbreitung des Troldesh-Verschlüsselungsvirus registriert. Seine Funktionalität ist umfassender als nur die eines Verschlüsselungsgeräts: Zusätzlich zum Verschlüsselungsmodul bietet es die Möglichkeit, eine Workstation fernzusteuern und zusätzliche Module herunterzuladen. Im März dieses Jahres haben wir bereits über die Troldesh-Epidemie – dann maskierte der Virus seine Übertragung mithilfe von IoT-Geräten. Nun werden hierfür anfällige Versionen von WordPress und die CGI-Bin-Schnittstelle verwendet.
Das Mailing wird von verschiedenen Adressen verschickt und enthält im Textkörper einen Link zu kompromittierten Webressourcen mit WordPress-Komponenten. Der Link enthält ein Archiv mit einem Skript in Javascript. Als Ergebnis seiner Ausführung wird der Troldesh-Verschlüsselungscode heruntergeladen und gestartet.
Schädliche E-Mails werden von den meisten Sicherheitstools nicht erkannt, da sie einen Link zu einer legitimen Webressource enthalten. Die Ransomware selbst wird jedoch derzeit von den meisten Herstellern von Antivirensoftware erkannt. Hinweis: Da die Malware mit C&C-Servern kommuniziert, die sich im Tor-Netzwerk befinden, ist es möglicherweise möglich, zusätzliche externe Lademodule auf den infizierten Computer herunterzuladen, die ihn „anreichern“ können.
Zu den allgemeinen Merkmalen dieses Newsletters gehören:
(1) Beispiel für einen Newsletter-Betreff – „Über die Bestellung“
(2) Alle Links sind äußerlich ähnlich – sie enthalten die Schlüsselwörter /wp-content/ und /doc/, zum Beispiel:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) Die Schadsoftware greift über Tor auf verschiedene Kontrollserver zu
(4) Es wird eine Datei erstellt, Dateiname: C:ProgramDataWindowscsrss.exe, registriert in der Registrierung im Zweig SOFTWAREMicrosoftWindowsCurrentVersionRun (Parametername – Client Server Runtime Subsystem).
Wir empfehlen Ihnen, sicherzustellen, dass Ihre Antiviren-Software-Datenbanken auf dem neuesten Stand sind, die Mitarbeiter über diese Bedrohung zu informieren und, wenn möglich, auch die Kontrolle über eingehende Briefe mit den oben genannten Symptomen zu verstärken.
Source: habr.com