ProHoster > Blog > administración > Troldesh con una nueva máscara: otra ola de envíos masivos de virus ransomware

Troldesh con una nueva máscara: otra ola de envíos masivos de virus ransomware

Desde principios de hoy hasta el presente, los expertos de JSOC CERT han registrado una distribución maliciosa masiva del virus de cifrado Troldesh. Su funcionalidad es más amplia que la de un cifrador: además del módulo de cifrado, tiene la capacidad de controlar remotamente una estación de trabajo y descargar módulos adicionales. En marzo de este año ya informado sobre la epidemia de Troldesh; luego, el virus enmascaró su propagación utilizando dispositivos IoT. Ahora, para esto se utilizan versiones vulnerables de WordPress y la interfaz cgi-bin.

Troldesh con una nueva máscara: otra ola de envíos masivos de virus ransomware

El correo se envía desde diferentes direcciones y contiene en el cuerpo de la carta un enlace a recursos web comprometidos con componentes de WordPress. El enlace contiene un archivo que contiene un script en Javascript. Como resultado de su ejecución, se descarga y ejecuta el cifrador Troldesh.

La mayoría de las herramientas de seguridad no detectan los correos electrónicos maliciosos porque contienen un enlace a un recurso web legítimo, pero actualmente la mayoría de los fabricantes de software antivirus detectan el ransomware en sí. Nota: dado que el malware se comunica con los servidores C&C ubicados en la red Tor, es potencialmente posible descargar módulos de carga externos adicionales a la máquina infectada que puedan "enriquecerla".

Algunas de las características generales de este boletín incluyen:

(1) ejemplo de asunto de un boletín informativo: "Acerca de realizar pedidos"

(2) todos los enlaces son externamente similares: contienen las palabras clave /wp-content/ y /doc/, por ejemplo:
Boca de caballo[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-academia[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
castañojp[.]com/wp-content/ai1wm-backups/doc/

(3) el malware accede a varios servidores de control a través de Tor

(4) se crea un archivo Nombre de archivo: C:ProgramDataWindowscsrss.exe, registrado en el registro en la rama SOFTWAREMicrosoftWindowsCurrentVersionRun (nombre del parámetro: Subsistema de tiempo de ejecución del servidor cliente).

Recomendamos asegurarse de que las bases de datos de su software antivirus estén actualizadas, considerar informar a los empleados sobre esta amenaza y también, si es posible, fortalecer el control sobre las cartas entrantes con los síntomas anteriores.

Fuente: habr.com

Añadir un comentario