ProHoster > Blog > administration > Troldesh dans un nouveau masque : une autre vague d'envoi massif d'un virus rançongiciel

Troldesh dans un nouveau masque : une autre vague d'envoi massif d'un virus rançongiciel

Depuis le début d’aujourd’hui jusqu’à aujourd’hui, les experts du JSOC CERT ont enregistré une distribution malveillante massive du virus de cryptage Troldesh. Ses fonctionnalités sont plus larges que celles d'un chiffreur : en plus du module de chiffrement, il a la capacité de contrôler à distance un poste de travail et de télécharger des modules supplémentaires. En mars de cette année, nous avons déjà informé à propos de l'épidémie de Troldesh - le virus a ensuite masqué sa propagation à l'aide d'appareils IoT. Désormais, des versions vulnérables de WordPress et de l'interface cgi-bin sont utilisées à cet effet.

Troldesh dans un nouveau masque : une autre vague d'envoi massif d'un virus rançongiciel

Le mailing est envoyé à partir de différentes adresses et contient dans le corps de la lettre un lien vers des ressources Web compromises avec des composants WordPress. Le lien contient une archive contenant un script en Javascript. À la suite de son exécution, le chiffreur Troldesh est téléchargé et lancé.

Les e-mails malveillants ne sont pas détectés par la plupart des outils de sécurité car ils contiennent un lien vers une ressource Web légitime, mais le ransomware lui-même est actuellement détecté par la plupart des fabricants de logiciels antivirus. Remarque : étant donné que le malware communique avec les serveurs C&C situés sur le réseau Tor, il est potentiellement possible de télécharger des modules de chargement externes supplémentaires sur la machine infectée qui peuvent « l'enrichir ».

Certaines des caractéristiques générales de ce bulletin d'information comprennent :

(1) exemple de sujet de newsletter - « À propos de la commande »

(2) tous les liens sont similaires en externe - ils contiennent les mots-clés /wp-content/ et /doc/, par exemple :
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-academy[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
châtaigneplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) le malware accède à divers serveurs de contrôle via Tor

(4) un fichier est créé Nom de fichier : C:ProgramDataWindowscsrss.exe, enregistré dans le registre de la branche SOFTWAREMicrosoftWindowsCurrentVersionRun (nom du paramètre - Client Server Runtime Subsystem).

Nous vous recommandons de vous assurer que les bases de données de votre logiciel antivirus sont à jour, d'envisager d'informer les employés de cette menace et, si possible, de renforcer le contrôle des lettres entrantes présentant les symptômes ci-dessus.

Source: habr.com

Ajouter un commentaire