Desde o comezo de hoxe ata a actualidade, os expertos do JSOC CERT rexistraron unha distribución maliciosa masiva do virus de cifrado Troldesh. A súa funcionalidade é máis ampla que só a dun cifrador: ademais do módulo de cifrado, ten a capacidade de controlar remotamente unha estación de traballo e descargar módulos adicionais. En marzo deste ano xa sobre a epidemia de Troldesh; entón o virus enmascarou a súa entrega usando dispositivos IoT. Agora utilízanse versións vulnerables de WordPress e a interface cgi-bin para iso.
O correo envíase desde diferentes enderezos e contén no corpo da carta unha ligazón a recursos web comprometidos con compoñentes de WordPress. A ligazón contén un arquivo que contén un script en Javascript. Como resultado da súa execución, o cifrador Troldesh é descargado e lanzado.
Os correos electrónicos maliciosos non son detectados pola maioría das ferramentas de seguridade porque conteñen unha ligazón a un recurso web lexítimo, pero o ransomware é detectado actualmente pola maioría dos fabricantes de software antivirus. Nota: dado que o malware se comunica cos servidores C&C situados na rede Tor, é posible que se poidan descargar módulos de carga externos adicionais á máquina infectada que poidan "enriquecela".
Algunhas das características xerais deste boletín inclúen:
(1) exemplo dun tema de boletín informativo - "Sobre o pedido"
(2) todas as ligazóns son externamente similares: conteñen as palabras clave /wp-content/ e /doc/, por exemplo:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) o malware accede a varios servidores de control a través de Tor
(4) créase un ficheiro Nome de ficheiro: C:ProgramDataWindowscsrss.exe, rexistrado no rexistro na rama SOFTWAREMicrosoftWindowsCurrentVersionRun (nome do parámetro - Subsistema de execución do servidor de cliente).
Recomendamos asegurarse de que as súas bases de datos de software antivirus estean actualizadas, considerando informar aos empregados sobre esta ameaza e tamén, se é posible, reforzar o control sobre as cartas entrantes cos síntomas anteriores.
Fonte: www.habr.com