Od početka današnjeg dana do danas stručnjaci JSOC CERT-a zabilježili su masovnu zlonamjernu distribuciju Troldesh virusa za šifriranje. Njegova je funkcionalnost šira od funkcionalnosti enkriptora: osim modula za šifriranje, ima mogućnost daljinskog upravljanja radnom stanicom i preuzimanja dodatnih modula. Već smo u ožujku ove godine o epidemiji Troldesh - tada je virus maskirao svoju isporuku pomoću IoT uređaja. Sada se za to koriste ranjive verzije WordPressa i cgi-bin sučelje.
Pošta se šalje s različitih adresa i sadrži u tijelu pisma poveznicu na kompromitirane web resurse s komponentama WordPressa. Link sadrži arhivu koja sadrži skriptu u Javascriptu. Kao rezultat njegovog izvršenja, Troldesh encryptor se preuzima i pokreće.
Zlonamjerne poruke e-pošte ne otkriva većina sigurnosnih alata jer sadrže poveznicu na legitiman web izvor, ali većina proizvođača antivirusnog softvera trenutačno otkriva sam ransomware. Napomena: budući da zlonamjerni softver komunicira s C&C poslužiteljima koji se nalaze na Tor mreži, potencijalno je moguće preuzeti dodatne vanjske module za učitavanje na zaraženi stroj koji ga mogu "obogatiti".
Neke od općih značajki ovog biltena uključuju:
(1) primjer predmeta newslettera - “O naručivanju”
(2) sve veze su izvana slične - sadrže ključne riječi /wp-content/ i /doc/, na primjer:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) zlonamjerni softver pristupa raznim kontrolnim poslužiteljima putem Tor-a
(4) kreira se datoteka Filename: C:ProgramDataWindowscsrss.exe, registrirana u registru u SOFTWAREMicrosoftWindowsCurrentVersionRun grani (naziv parametra - Client Server Runtime Subsystem).
Preporučujemo da provjerite jesu li vaše baze podataka antivirusnog softvera ažurne, razmislite o tome da obavijestite zaposlenike o ovoj prijetnji, a također, ako je moguće, pojačate kontrolu nad dolaznim pismima s gore navedenim simptomima.
Izvor: www.habr.com