De la komenco de hodiaŭ ĝis la nuntempo, spertuloj de JSOC CERT registris amasan malican distribuadon de la ĉifrita viruso Troldesh. Ĝia funkcieco estas pli larĝa ol nur tiu de ĉifrilo: krom la ĉiframodulo, ĝi havas la kapablon malproksime kontroli laborstacion kaj elŝuti pliajn modulojn. En marto de ĉi tiu jaro ni jam pri la Troldesh-epidemio - tiam la viruso maskis sian liveron per IoT-aparatoj. Nun, vundeblaj versioj de WordPress kaj la cgi-bin-interfaco estas uzataj por ĉi tio.
La retpoŝto estas sendita de malsamaj adresoj kaj enhavas en la korpo de la letero ligon al kompromititaj retaj rimedoj kun WordPress-komponentoj. La ligilo enhavas arkivon enhavantan skripton en Javascript. Kiel rezulto de ĝia ekzekuto, la Troldesh-ĉifrilo estas elŝutita kaj lanĉita.
Malicaj retpoŝtoj ne estas detektitaj de la plej multaj sekurecaj iloj ĉar ili enhavas ligon al legitima interreta rimedo, sed la ransomware mem estas nuntempe detektita de plej multaj fabrikantoj de antivirusaj programaroj. Noto: ĉar la malware komunikas kun C&C-serviloj situantaj sur la Tor-reto, eble eblas elŝuti pliajn eksterajn ŝarĝajn modulojn al la infektita maŝino, kiu povas "riĉigi" ĝin.
Iuj el la ĝeneralaj trajtoj de ĉi tiu bulteno inkluzivas:
(1) ekzemplo de bultena temo - "Pri mendo"
(2) ĉiuj ligiloj estas ekstere similaj - ili enhavas la ŝlosilvortojn /wp-content/ kaj /doc/, ekzemple:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) la malware aliras diversajn kontrolservilojn per Tor
(4) dosiero estas kreita Dosiernomo: C:ProgramDataWindowscsrss.exe, registrita en la registro en la SOFTWAREMicrosoftWindowsCurrentVersionRun-branĉo (parametronomo - Kliento Server Runtime Subsystem).
Ni rekomendas certigi, ke viaj kontraŭvirusaj programaj datumbazoj estas ĝisdatigitaj, konsiderante informi dungitojn pri ĉi tiu minaco, kaj ankaŭ, se eble, plifortigi kontrolon super alvenantaj leteroj kun la supraj simptomoj.
fonto: www.habr.com