ProHoster > Blog > Bestjoer > Troldesh yn in nij masker: in oare weach fan massa mailing fan in ransomware-firus

Troldesh yn in nij masker: in oare weach fan massa mailing fan in ransomware-firus

Fan it begjin fan hjoed oant no hawwe JSOC CERT-saakkundigen de massale kweade distribúsje fan it Troldesh-fersiferingsfirus opnommen. De funksjonaliteit dêrfan is breder dan allinich dy fan in fersiferer: neist de fersiferingsmodule hat it de mooglikheid om in wurkstasjon op ôfstân te kontrolearjen en ekstra modules te downloaden. Yn maart fan dit jier hawwe wy al ynformearre oer de Troldesh-epidemy - doe maskere it firus syn levering mei IoT-apparaten. No wurde kwetsbere ferzjes fan WordPress en de cgi-bin-ynterface hjirfoar brûkt.

Troldesh yn in nij masker: in oare weach fan massa mailing fan in ransomware-firus

De mailing wurdt ferstjoerd fan ferskate adressen en befettet yn it lichem fan 'e brief in keppeling nei kompromittearre webboarnen mei WordPress-komponinten. De keppeling befettet in argyf mei in skript yn Javascript. As gefolch fan syn útfiering wurdt de Troldesh-encryptor ynladen en lansearre.

Kweaze e-mails wurde net ûntdutsen troch de measte befeiligingsark, om't se in keppeling befetsje nei in legitime webboarne, mar de ransomware sels wurdt op it stuit ûntdutsen troch de measte fabrikanten fan antivirussoftware. Opmerking: om't de malware kommunisearret mei C&C-tsjinners dy't op it Tor-netwurk lizze, is it mooglik om ekstra eksterne loadmodules te downloaden nei de ynfekteare masine dy't it kin "ferrykje".

Guon fan 'e algemiene funksjes fan dizze nijsbrief omfetsje:

(1) foarbyld fan in nijsbriefûnderwerp - "Oer bestelle"

(2) alle keppelings binne ekstern ferlykber - se befetsje de kaaiwurden /wp-content/ en /doc/, bygelyks:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-akademy[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) de malware tagong ta ferskate kontrôleservers fia Tor

(4) in triem wurdt makke Triemnamme: C: ProgramDataWindowscsrss.exe, registrearre yn it register yn de SOFTWAREMicrosoftWindowsCurrentVersionRun branch (parameter namme - Client Server Runtime Subsystem).

Wy riede oan om derfoar te soargjen dat jo anty-firus software-databases aktueel binne, beskôgje it ynformearjen fan meiwurkers oer dizze bedriging, en ek, as it mooglik is, it fersterkjen fan kontrôle oer ynkommende brieven mei de boppesteande symptomen.

Boarne: www.habr.com

Add a comment