Von heute an bis heute haben Experten des JSOC CERT eine massive böswillige Verbreitung des Troldesh-Verschlüsselungsvirus registriert. Seine Funktionalität ist umfassender als nur die eines Verschlüsselungsgeräts: Zusätzlich zum Verschlüsselungsmodul bietet es die Möglichkeit, eine Workstation fernzusteuern und zusätzliche Module herunterzuladen. Im März dieses Jahres haben wir bereits Zur Troldesh-Epidemie: Damals verschleierte das Virus seine Verbreitung mithilfe von IoT-Geräten. Heute werden anfällige Virusvarianten zu diesem Zweck eingesetzt. WordPress und die CGI-Bin-Schnittstelle.
Die E-Mail wird von verschiedenen Adressen versendet und enthält im Text einen Link zu kompromittierten Webseiten mit folgenden Komponenten: WordPressDer Link führt zu einem Archiv, das ein Javascript-Skript enthält. Durch dessen Ausführung wird die Troldesh-Ransomware heruntergeladen und gestartet.
Schädliche E-Mails werden von den meisten Sicherheitstools nicht erkannt, da sie einen Link zu einer legitimen Webressource enthalten. Die Ransomware selbst wird jedoch derzeit von den meisten Herstellern von Antivirensoftware erkannt. Hinweis: Da die Malware mit C&C-Servern kommuniziert, die sich im Tor-Netzwerk befinden, ist es möglicherweise möglich, zusätzliche externe Lademodule auf den infizierten Computer herunterzuladen, die ihn „anreichern“ können.
Zu den allgemeinen Merkmalen dieses Newsletters gehören:
(1) Beispiel für einen Newsletter-Betreff – „Über die Bestellung“
(2) Alle Links sind äußerlich ähnlich – sie enthalten die Schlüsselwörter /wp-content/ und /doc/, zum Beispiel:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) Die Schadsoftware greift über Tor auf verschiedene Kontrollserver zu
(4) Datei „C:\ProgramData“ wird erstelltWindowsDie Datei csrss.exe ist in der Registrierung im Zweig SOFTWARE\Microsoft registriert.WindowsCurrentVersionRun (Parametername ist Client Server Runtime Subsystem).
Wir empfehlen Ihnen, sicherzustellen, dass Ihre Antiviren-Software-Datenbanken auf dem neuesten Stand sind, die Mitarbeiter über diese Bedrohung zu informieren und, wenn möglich, auch die Kontrolle über eingehende Briefe mit den oben genannten Symptomen zu verstärken.
Source: habr.com
